Обновление истории одной из самых необычных APT атак

В 2013 году вместе с партнерами из CrySyS Lab, мы опубликовали наше исследование по APT атаке, получившей название "Miniduke". Эта атака выделялась от всех остальных по ряду причин, включая следующие:

• Использование нестандартного бэкдора, написанного на языке Ассемблер (кому понадобилось писать на Ассемблере в век Java и .NET?)
• Уникальный механизма управления, который использует некоторые резервные каналы, такие как сообщения в Twitter
• Использование скрытной передачи дополнительных исполняемых файлов, замаскированных под GIF изображения (некий вариант стеганографии)

Мы уже отмечали, что атакующие используют вредоносный код, разработанный с использованием некоторых техник и особенностей хакеров «старой школы».

Наш анализ продолжили исследователи из CIRCL/Люксембург, а также несколько антивирусных компаний. Недавно нам стало известно о публикации F-Secure об этом же зловреде (под именем “CosmicDuke”).

После ряда публикаций в 2013 Miniduke приостановил или как минимум замедлил интенсивность атак. Однако в начале 2014 года атакующие продолжили работать в полную мощь, что привлекло наше внимание.

Мы считаем, что настало время раскрыть некоторые новые детали их операций.

http://www.securelist.com/ru/blog/208211730/Miniduke_vozvrashchaetsya_Nemesis_Gemina_i_Botgen_Studio

NO-IP - это один из многих провайдеров динамических DNS, с помощью которых можно бесплатно регистрировать поддомены в таких популярных доменах, как servepics.com и servebeer.com. В течение долгого времени это был любимый метод киберпреступников, которым нужно было без лишних проблем зарегистрировать поддомен для обновления имен хостов, чтобы контролировать вредоносные импланты на компьютерах-жертвах. Вчера Microsoft предпринял шаги против NO-IP и наложил арест на 22 домена, принадлежавших этой компании. Кроме того, Microsoft подал гражданский иск против «Мохамеда Бенабделлы и Насера Аль Мутаири, а также против американской компании VitalwerksInternetSolutions, LLC, ведущей бизнес под именем No-IP.com, за их участие в создании, контролировании и содействии в заражении миллионов компьютеров вредоносным ПО, из-за чего был нанесен ущерб компании Microsoft, её клиентам и в целом общественности».

Интересно, что Microsoft выделил два конкретных семейства зловредов: «Для заражения невинных жертв вредоносными программами семейств Bladabindi (NJrat) и Jenxcus (NJw0rm). Заметим, что эти зловреды использовались многими группами киберпреступников и активистов, среди которых была и небезызвестная Сирийская электронная армия (Syrian Electronic Army), для выполнения атак на пользователей. Подробнее об этих атаках мы напишем в ближайшее время в отдельном блогпосте.

Блокирование этих ресурсов сорвало многие другие APT-операции, в которых использовались ресурсы NO-IP в качестве командной инфраструктуры. Вот их список:

• Flame/Miniflame
• Turla/Snake/Uroburos, включая Epic
• Cycldek
• Shiqiang
• Клиенты HackingTeam RCS
• Banechant
• Ladyoffice
• и т.д&

http://www.securelist.com/ru/blog/208211729/Microsoft_zablokiroval_22_domena_provaydera_NO_IP_sorvav_APT_operatsii_kiberprestupnikov

Недавно нам на анализ попал очередной вымогатель для операционной системы Android. В отличие от своих предшественников, этот троянец «шифрует» телефонные номера и адреса электронной почты в списке контактов владельца зараженного устройства.

Первые вымогатели для операционной системы Android появились относительно љнедавно, и сейчас наблюдается резкий рост их количества. Только за последние три месяца на мобильных устройствах наших пользователей мы зафиксировали более 6000 попыток установки программ-вымогателей. Все они по-своему уникальны: одни блокируют экран и все операции на телефоне, другие - шифруют пользовательские файлы на карте памяти и требуют выкуп за расшифровку. Однако троянец, который нацелен на шифрование списка контактов пользователя, появился впервые.

Вредоносное приложение распространяется с порносайта под видом видео. После запуска троянца, как и в случае остальных программ-вымогателей, появляется окно с требованием заплатить злоумышленнику определенную сумму. Это окно легко закрыть кнопкой Home, но оно будет появляться снова и достаточно часто.

http://www.securelist.com/ru/blog/207769074/Shifrovalshchik_kontaktov_zagotovka

Похищение более полумиллиона евро всего за неделю - это звучит как реклама голливудских триллеров про ограбление банков. Однако организаторам мошеннической схемы Luuuk, созданной для кражи средств банковских клиентов, это удалось. Чтобы осуществить задуманное, они использовали атаки типа Man-in-the-Browser (MITB), направленные на клиентов одного из европейских банков. Краденые деньги затем автоматически переводились на заранее подготовленные счета «дропов» (посредников в отмывании краденных средств, известных также как «денежные мулы»). После обнаружения командного сервера с панелью управления Luuuk эксперты «Лаборатории Касперского» немедленно связались с банком и приступили к расследованию.

20 января 2014 года эксперты «Лаборатории Касперского» обнаружили подозрительный сервер, содержащий несколько лог-файлов. В частности, были найдены записи о соединениях, установленных ботами с веб-панелью управления командного сервера. Отправляемая информация, очевидно, имела отношение к финансовому мошенничеству; передаваемые данные включали сведения о жертвах и украденных суммах.

Рис. 1: Пример лог-файла

http://www.securelist.com/ru/blog/207769072/Ispolzuy_Silu_Luuuk

Прошло более года с момента публикации нашей последней статьи об итальянской компании HackingTeam, производящей «легальную» шпионскую программу Remote Control System (RCS). За это время многое изменилось, и пришла пора рассказать о новых результатах наших исследований этой вредоносной программы.

Расположение командных серверов

За время наших глубоких и долгих исследований мы обнаружили несколько важных вещей, самой существенной из которых является характерный признак, по которому можно распознать командные сервера RCS. Подробности этого метода мы представили на конференции Virus Bulletin 2013.

Вкратце: когда на «безвредный» командный сервер RCS посылается специальный запрос, командный сервер в ответ выдает следующее сообщение об ошибке:

Слайд из нашей презентации на конференции Virus Bulletin 2013 о характерном признаке командного сервера HackingTeam

http://www.securelist.com/ru/blog/207769073/HackingTeam_2_0_slezhka_teper_vozmozhna_i_cherez_mobilnye_ustroystva

Это четвертая и заключительная часть серии наших блогпостов, посвященных Чемпионату мира по футболу и связанных с ним информационным угрозам. Более того, это те проблемы, с которыми мы сталкиваемся именно сейчас, когда наши звездные футболисты демонстрируют в Бразилии свои лучшие спортивные качества.

Многие болельщики переключились с телевизоров на интернет и смотрят матчи Чемпионата мира 2014 онлайн, однако это может обернуться для них потерей денег или появлением вредоносной программы на их компьютере.

В поисках онлайн-трансляции матча в интернете вы время от времени натыкаетесь на проплаченную рекламу, которая ведет на мошеннические или вредоносные сайты. Вот несколько свежих примеров таких объявлений, созданных специально для Чемпионата мира:

http://www.securelist.com/ru/blog/207769071/Reklamnoe_PO_ili_poterya_deneg_vmesto_dolgozhdannogo_futbola

В июне 2004 года в «Лабораторию Касперского» пришло письмо, содержащее странный файл без какого-либо текста. Это был исполняемый файл, не предназначенный ни для одной из десктопных платформ. Аналитик Роман Кузьменко, дежуривший в ту ночь, сумел разобраться в необычном поступлении: это оказался червь, работающий на процессорах ARM под управлением операционной системы Symbian. Впоследствии за этот детект Роман получил в подарок телефон Nokia.

Предварительный анализ кода показал, что червь способен распространяться посредством Bluetooth и умеет передавать файлы. Имел он и название - при запуске на дисплее смартфона отображалась надпись «Caribe». Использовать самоназвание вредоносной программы в антивирусной индустрии не принято, поэтому аналитики видоизменили его, дав червю имя Cabir. Вскоре выяснилось, что из всех антивирусных компаний, получивших Cabir, разобраться в нем смогла лишь «Лаборатория Касперского».

http://www.securelist.com/ru/blog/207769070/10_let_pervomu_mobilnomu_chervyu_Cabir

Почти год назад мы написали первый блогпост про мобильный троянец Svpeng. Тогда оказалось, что на первый взгляд обычный зловред класса Trojan-SMS воровал деньги с банковских счетов посредством SMS-банкинга.

Позже мы обнаружили, что киберпреступники усовершенствовали функционал троянца, и тот стал активнее атаковать пользователей мобильного банкинга, в частности клиентов трех крупнейших российских банков. Svpeng дожидался, пока пользователь откроет окно приложения для онлайн-банкинга и заменял его своим, стремясь выудить у жертвы необходимые для авторизации логин и пароль. Кроме того, троянец пытался украсть данные банковской карты - для этого он перекрывал приложение Google Play своим окном, в котором запрашивал нужную преступникам информацию.

http://www.securelist.com/ru/blog/207769069/Novaya_versiya_Svpeng_natselena_na_zhiteley_SShA

Мы часто берём с собой в поездки множество «умных» девайсов, с помощью которых можно фиксировать прекрасные моменты, например красивый вид города, в котором находимся, сообщать друзьям, в какой точке вы сейчас находитесь, или просто делиться новостями, опубликовав их сразу в twitter или Facebook. Во всех этих случаях, и особенно при обмене данными, поиске информации о ресторанах, ценах на гостиницы или просто маршрутах передвижения, нужно интернет-соединение. К сожалению, тарифы на интернет-соединение с телефона в роуминге обычно весьма недешевы, поэтому многие путешественники предпочитают пользоваться бесплатными точками доступа Wi-Fi, активно ищут места, где таковые есть, и пользуются ими, не задумываясь о безопасности. Однако же такой подход на поверку оказывается очень рискованным: все данные, которые вы отправляете и принимаете через открытые Wi-Fi сети, при определенных технических условиях могут быть перехвачены, а все ваши пароли, PIN-коды и другие секретные данные могут попасть в руки киберпреступников. Некоторые кибепреступники специально устанавливают поддельные точки доступа с особыми настройками, в которых весь трафик, включая трафик с серверов, проходит через хост-посредник, который перехватывает и читает весь шифрованный трафик. Риск попадания ваших личных данных в руки мошенников очень высок, и в таком случае вы можете столкнуться с очень серьезными последствиями - речь идёт о потере всех ваших материальных средств, что всегда неприятно, а тем более во время поездки.

Учитывая все эти соображения, мы провели «полевое» исследование Wi-Fi -сетей в Сан-Паулу: мы проехали более 100 км и проанализировали более пяти тысяч точек доступа в городе. Анализу подверглись места, наиболее посещаемые туристами: парки, торговые центры, аэропорты и другие общественные места, куда любят заглядывать все туристы. Итак, насколько безопасны или небезопасны Wi-Fi сети в городе? Давайте посмотрим вместе.

http://www.securelist.com/ru/blog/207769068/ChM_2014_v_Brazilii_Wi_Fi_seti_i_poddelnye_zaryadnye_ustroystva

В середине мая на одном из форумов вирусописателей появилось объявление о продаже за 5000$ уникальной вредоносной программы - троянца-шифровальщика, работающего в ОС Android. Всего через несколько дней, 18 мая, мы зафиксировали появление мобильного троянца-шифровальщика, детектируемого нами как Trojan-Ransom.AndroidOS.Pletor.a, в дикой природе (in the wild).

Всего к 5 июня мы обнаружили более 2000 заражений в 13 странах, расположенных, в основном, на территории бывшего СССР: Азербайджан, Беларусь, Канада, Грузия, Германия, Греция, Казахстан, Южная Корея, Россия, Сингапур, Таджикистан, Украина и Узбекистан. Пик распространения Trojan-Ransom.AndroidOS.Pletor.a пришелся на 22 мая - в тот день мы зафиксировали более 500 новых заражений.

На данный момент нам удалось обнаружить более 30 модификаций троянца, которые условно можно разделить на две группы. Первая для коммуникации со злоумышленником использует сеть TOR, вторая - привычные каналы HTTP и SMS. Плюс, троянцы из второй группы при требовании денег с пользователя показывают ему его изображение, транслирующееся с помощью фронтальной камеры смартфона.

http://www.securelist.com/ru/blog/207769067/Pervyy_mobilnyy_shifrovalshchik

Тема легкого и солидного заработка в Сети используется спамерами так часто, что ею уже трудно кого-то удивить. В большинстве случаев пользователь, решивший обогатиться с помощью спамеров, платит запрашиваемый 'взнос', становится одним из звеньев финансовой пирамиды и в результате безвозвратно теряет деньги. Однако иногда встречаются рассылки, предлагающие поделиться секретом прибыли абсолютно бесплатно. Правда, у этого альтруизма есть оборотная сторона.

В обнаруженном нами письме одной из таких 'альтруистичных' рассылок получателю предлагали бесплатно скачать подробное руководство по заработку в Сети с помощью участия в партнерской программе. Файл с расширением .docx, по словам автора сообщения, был специально запакован в формат EXE, чтобы избежать несанкционированного доступа к руководству.

http://www.securelist.com/ru/blog/207769066/Zarabotok_i_JavaScript_v_odnom_flakone

Одной из основных задач вредоносного кода является обеспечение раннего старта, который позволяет внести необходимые изменения в код операционной системы и системных драйверов - например, установить перехваты - раньше момента инициализации компонентов антивирусного продукта. В результате вредоносные программы и антивирусные продукты играют в кошки-мышки, поскольку находятся на одном уровне: операционная система, системные драйверы и руткиты работают в режиме ядра.

В настоящее время буткиты являются самой продвинутой технологией злоумышленников, позволяющей стартовать вредоносному коду до загрузки операционной системы. И технология эта используется во множестве зловредов.

В прошлом мы неоднократно писали о буткитах (например, о XPAJ и TDSS (TDL4)). В последней по времени публикации с упоминанием буткитов описаны сценарии таргетированных атак с использованием данной технологии в операции «Маска». Однако такие публикации появляются не часто, и у многих специалистов может создаться впечатление, что буткиты, как и файловые вирусы, «умерли», что «доверенная загрузка»љсделала свое дело и угроза более не актуальна.

Тем не менее, буткиты существуют, востребованы на черном рынке и активно используются киберпреступниками, в том числе при проведении таргетированных атак.

Часть кода загрузчика вредоносной программы TDSS в MBR

http://www.securelist.com/ru/blog/207769065/Ataki_do_zagruzki_sistemy

Троянец-шифровальщик на Mac OS X - явление до сих пор невиданное, но, как оказалось, вполне реальное. Одного такого зловреда мы нашли на просторах интернета, а точнее на небезызвестном сайте virustotal.com. Но не торопитесь прятать документы от этого вымогателя - мы провели детальный анализ Trojan-Ransom.OSX.FileCoder.a и его результаты нас слегка разочаровали.

Первое, что бросилось в глаза при изучении троянца - весьма характерное для семейства Trojan-Ransom сообщение с требованием денег за восстановление пользовательских файлов.

http://www.securelist.com/ru/blog/207769064/Nedodelannyy_vymogatel_dlya_MacOS_X