Статья Вредоносная программа Bisonal запускается через вредоносный PDF для атаки на правительственные, военные или оборонные отрасли

В новой версии вредоносной программы Bisonal обнаружено, что она хранится в файле PDF, предназначенном для использования в военных целях, который в основном ориентирован на организации, связанные с правительственными, военными или оборонными отраслями.

Эта вредоносная кампания, в основном, используемая при нападении на различные страны с 2014 года, в настоящее время является автором многих усовершенствованных вредоносных программ в новой версии вредоносного программного обеспечения Bisonal.

Исследователи определили 2 основных различия между старой версией вредоносного программного обеспечения Bisonal и новой версией, которая включает в себя связь C2, переписанный код, а также авторы вредоносных программ добавили еще множество методов уклонения для поддержания устойчивости.

В настоящее время кампания по распространению вредоносной программы в основном сосредоточена на России и Южной Корее, которые содержат некоторые из распространенных атак по сравнению со старой версией:

• Обычно целевыми организациями являются те, которые связаны с государственной, военной или оборонной промышленностью в Южной Корее, России и Японии.
• В некоторых случаях предусматривается использование Dynamic DNS (DDNS) для C2 серверов.
• Использование целевого кода или кода кампании с его C2 для отслеживания соединений жертвы или атак соединений кампании.
• Проектирование вредоносного программного обеспечения Bisonal в качестве PDF, Microsoft Office Document или Excel файл.
• Использование файла приманки в дополнение к вредоносному файлу PE
• В некоторых случаях происходит кодирование для обработки символов кириллицы в русскоязычных операционных системах.

Основные цели атак вредоносной программы Bisonal

В данном разделе мы можем видеть один из примеров Bisonal-модуля, который является целенаправленной атакой на российскую организацию, которая относится к службам обеспечения безопасности связи, телекоммуникационным системам и обороне. Атака использует электронные фишинг-письма.

В самом электронном письме содержится некоторая информация, предназначенная для работников оборонной отрасли вместе с прикрепленным PDF-документом, который содержит исполняемый файл.

Как только в файл PDF предназначенный для использования в военных целях, который содержит вредоносное исполняемое приложение, открыт, главный payload помещается на атакуемой машине и отображает файл приманки для жертвы.

Вредоносные программы, замаскированные под PDF

Размещенные файлы приманки принадлежат к семейству вредоносных программ Bisonal, и они скрывают зашифрованные файл Bisonal DLL и файл с не вредоносной приманкой в самом конце.



Основной модуль вредоносного программного обеспечения Bisonal, использующий другой шифр для связи C2 с применением того же ключа 2011 года, где также значительная часть кода была переписана.

Далее вариант Bisonal отправляет запрос HTTP POST на сервер C2 и обменивается IP-адресом взломанной машины.

Согласно

Ссылка скрыта от гостей

, еще одним признаком заражения являются данные, отправляемые на сервер C2 во время первоначального соединения. Каждый раз, когда этот вариант Bisonal связывается со своим C2, он отправляет уникальный идентификационный номер и команду backdoor в первых восьми байтах.

Вскоре после получения начального сигнала от жертвы, зараженной Bisonal, C2 отвечает вместе с сеансом идентификационного номера и командой backdoor.

Основанная на командах, взломанная система ответит на C&C сервер вместе со следующими командами бэкдора.

Command (команда) Meaning (значение)

0x000000C8 Получает системную информацию
0x000000C9 Получает список процесса управления
0x000000CA Прекращает процесс
0x000000CB Предоставляет доступ к cmd shell
0x000000CD Загружает файл
0x000000CF Выполняет файл
0x000000D1 Создает файл

Аналогичным образом, целью является военная или оборонная промышленность в таких странах, как Южная Корея, Япония, Индия и Россия, и исследователи полагают, что за этой массовой атакой стоит определенная группа, и расследование продолжается.

IoC

Dropper SHA256:

B1DA7E1963DC09C325BA3EA2442A54AFEA02929EC26477A1B120AE44368082F8

0641FE04713FBDAD272A6F8E9B44631B7554DFD1E1332A8AFA767D845A90B3FA

Bisonal SHA256:

43459F5117BEE7B49F2CEE7CE934471E01FB2AA2856F230943460E14E19183A6

DFA1AD6083AA06B82EDFA672925BB78C16D4E8CB2510CBE18EA1CF598E7F2722

1128D10347DD602ECD3228FAA389ADD11415BF6936E2328101311264547AFA75

359835C4A9DBE2D95E483464659744409E877CB6F5D791DAA33FD601A01376FC

Источник:

Ссылка скрыта от гостей

 

[Tom]

В данном разделе мы можем видеть один из примеров Bisonal-модуля, который является целенаправленной атакой на российскую организацию

Источник:

Ссылка скрыта от гостей

Анна, НЕУЖЕЛИ в источнике информации так и написано: "который является целенаправленной атакой на российскую организацию"???
Или Вы пользуетесь "источником" который является "источником ПРОПАГАНДЫ"?
А на какой РФЯЦ нацелена атака, не подскажите?

 

[Глюк]

Анна, НЕУЖЕЛИ в источнике информации так и написано: "который является целенаправленной атакой на российскую организацию"???
Или Вы пользуетесь "источником" который является "источником ПРОПАГАНДЫ"?
А на какой РФЯЦ нацелена атака, не подскажите?

Ну если возникли подобные вопросы, то логично обратиться к источнику: "Here we can see one of the examples Bisonal module which is a targeted attack against Russian based organization that belongs to communication security services, telecommunication systems and defense using spear-phishing emails."
Кроме того, трудно уличить сайт gbhackers.com в распространении политической пропаганды.
Скорее всего в источнике просто приведён конкретный пример атаки. На месте российской компании могла быть компания из любой другой страны мира...