AnnaDavydova
Green Team
- 06.08.2016
- 113
- 755
Приветствую, коллеги и все, кто неравнодушен к вопросам кибербезопасности! Сегодня мы погрузимся в мир одной из самых заметных угроз последних месяцев — вредоносного ПО AZORult, которое получило значительное обновление и уже активно применяется в масштабных киберкампаниях. Наши коллеги из Proofpoint пролили свет на эту активность, и их находки, как всегда, заслуживают самого пристального внимания.
Что нового у AZORult? Взгляд изнутри
Недавно мы стали свидетелями появления обновленной версии AZORult (теперь уже 3.2), которая активно рекламируется на подпольных форумах. Это не просто косметические изменения; разработчики значительно расширили функционал как самого стиллера, так и его загрузчика. Давайте посмотрим, что же конкретно улучшили:
Не успела новая версия появиться, как она тут же была задействована в масштабной фишинговой кампании, нацеленной на Северную Америку. Тысячи сообщений с темами "About a role" или "Заявка на работу" содержали вложение – документ Office с именем "firstname.surname_resume.doc".
И вот здесь кроется важный нюанс, на который стоит обратить внимание: злоумышленники используют документы, защищенные паролем. Это хитроумный ход, позволяющий обойти многие антивирусные решения на этапе первоначального сканирования файла. Антивирус не может просканировать содержимое, пока файл не будет расшифрован. Как только пользователь вводит пароль (который обычно указан в фишинговом письме), документ просит "включить макросы". И вот тут-то и начинается самое интересное.
При включении макроса загружается AZORult. После заражения машины AZORult связывается со своим сервером управления (C&C), обмениваясь данными, закодированными простым 3-байтовым XOR-ключом. Далее он начинает собирать "урожай": компьютерную информацию, украденные пароли, куки, содержимое файлов – все, что может быть ценным.
Но самое необычное в этой кампании – это двойная атака. После того как AZORult успешно собирает и отправляет все данные, он загружает… программу-вымогатель Hermes 2.1! Это довольно нетипично — обычно злоумышленники выбирают либо кражу данных, либо шифрование с целью выкупа. Однако в данном случае мы видим стремление получить максимум выгоды: если выкуп не будет уплачен, украденные данные можно продать на черном рынке. Более того, перед запуском Hermes, AZORult специально проверяет наличие криптокошельков и учетных данных, что, вероятно, влияет на дальнейшее поведение программы-вымогателя или просто является последней проверкой перед тем, как "сжечь мосты".
Что это значит для нас и как защититься?
Эта кампания – яркий пример адаптации и эволюции киберугроз. Комбинация стиллера и программы-вымогателя, использование защищенных паролем документов для обхода антивирусов, а также постоянно совершенствующийся функционал вредоносного ПО – все это требует от нас повышенной бдительности.
Вот несколько практических рекомендаций:
Надеюсь, эта информация была для вас полезной. Оставайтесь в безопасности!
Что нового у AZORult? Взгляд изнутри
Недавно мы стали свидетелями появления обновленной версии AZORult (теперь уже 3.2), которая активно рекламируется на подпольных форумах. Это не просто косметические изменения; разработчики значительно расширили функционал как самого стиллера, так и его загрузчика. Давайте посмотрим, что же конкретно улучшили:
- Расширенная история перехватов: Теперь AZORult может собирать историю из большинства популярных браузеров (за исключением, почему-то, IE и Edge, что, возможно, связано с их архитектурными особенностями).
- Поддержка криптокошельков: Это серьезный шаг вперед. Добавлена поддержка таких кошельков, как Exodus, Jaxx, Mist, Ethereum и Electrum (включая Electrum-LTC). Это напрямую указывает на усиление фокуса злоумышленников на криптовалютных активах.
- Улучшенный загрузчик: Пожалуй, одно из самых значимых нововведений. Загрузчик теперь поддерживает неограниченное количество ссылок, что дает операторам AZORult огромную гибкость. Более того, появилась возможность задавать сложные правила для загрузки полезной нагрузки. Представьте: "Если есть куки или сохраненные пароли от mysite.com, то загрузить и запустить link[.]com/soft.exe". Или даже "Если обнаружены данные криптокошельков" – это открывает двери для таргетированных атак.
- Использование системных прокси: Теперь стиллер может использовать системные прокси-серверы для связи, а если соединение через них не удается, он попытается подключиться напрямую. Это повышает его устойчивость и адаптивность в различных сетевых средах.
- Улучшения на панели администратора: Добавлены удобные функции: ограничение загрузки, кнопка для удаления "фиктивных" отчетов (без полезной информации), статистика гостей и, что особенно интересно, геобаза. Последнее позволяет операторам лучше понимать географию своих жертв и, возможно, таргетировать атаки по регионам.
Не успела новая версия появиться, как она тут же была задействована в масштабной фишинговой кампании, нацеленной на Северную Америку. Тысячи сообщений с темами "About a role" или "Заявка на работу" содержали вложение – документ Office с именем "firstname.surname_resume.doc".
И вот здесь кроется важный нюанс, на который стоит обратить внимание: злоумышленники используют документы, защищенные паролем. Это хитроумный ход, позволяющий обойти многие антивирусные решения на этапе первоначального сканирования файла. Антивирус не может просканировать содержимое, пока файл не будет расшифрован. Как только пользователь вводит пароль (который обычно указан в фишинговом письме), документ просит "включить макросы". И вот тут-то и начинается самое интересное.
При включении макроса загружается AZORult. После заражения машины AZORult связывается со своим сервером управления (C&C), обмениваясь данными, закодированными простым 3-байтовым XOR-ключом. Далее он начинает собирать "урожай": компьютерную информацию, украденные пароли, куки, содержимое файлов – все, что может быть ценным.
Но самое необычное в этой кампании – это двойная атака. После того как AZORult успешно собирает и отправляет все данные, он загружает… программу-вымогатель Hermes 2.1! Это довольно нетипично — обычно злоумышленники выбирают либо кражу данных, либо шифрование с целью выкупа. Однако в данном случае мы видим стремление получить максимум выгоды: если выкуп не будет уплачен, украденные данные можно продать на черном рынке. Более того, перед запуском Hermes, AZORult специально проверяет наличие криптокошельков и учетных данных, что, вероятно, влияет на дальнейшее поведение программы-вымогателя или просто является последней проверкой перед тем, как "сжечь мосты".
Что это значит для нас и как защититься?
Эта кампания – яркий пример адаптации и эволюции киберугроз. Комбинация стиллера и программы-вымогателя, использование защищенных паролем документов для обхода антивирусов, а также постоянно совершенствующийся функционал вредоносного ПО – все это требует от нас повышенной бдительности.
Вот несколько практических рекомендаций:
- Критически относитесь к вложениям: Если вы получили письмо с вложением, особенно ".doc" или ".docx", от неизвестного отправителя, или даже от знакомого, но с необычной темой – дважды подумайте, прежде чем открывать его.
- Никогда не включайте макросы по запросу: По умолчанию, макросы должны быть отключены в вашем Office. Если документ просит их включить – это почти всегда признак чего-то зловещего.
- Остерегайтесь паролей в письмах: Если вам прислали документ с паролем, указанным прямо в теле письма – это огромный красный флаг. Нормальные, безопасные документы, требующие пароля, обычно передают его по другим, защищенным каналам.
- Используйте актуальное ПО: Убедитесь, что ваша операционная система, антивирусное ПО и Office всегда обновлены. Это помогает закрыть известные уязвимости.
- Резервное копирование: Регулярно создавайте резервные копии важных данных. Это ваша главная защита от программ-вымогателей.
- Многофакторная аутентификация (MFA): Включите MFA везде, где это возможно. Даже если ваши учетные данные будут украдены, без второго фактора доступа злоумышленникам будет гораздо сложнее их использовать.
Надеюсь, эта информация была для вас полезной. Оставайтесь в безопасности!
