Носок в стиральной машине: троян Microcin использует интересную стеганографию

Рекомендуем почитать:

Xakep #254. Android: атака и защита

• Содержание выпуска
• Подписка на «Хакер»

Эксперты «Лаборатории Касперского» представили детальный отчет о недавней активности хак-группы Microcin (она же SixLittleMonkeys), которая специализируется на слежке за дипломатическими организациями.

Все началось с того, что в феврале 2020 года исследователи обнаружили трояна, внедренного в память системного процесса на машине жертвы. Как оказалось, целью атаки была дипломатическая организация. Внимание специалистов привлекли архитектура малвари в целом и асинхронная работа с сокетами в частности. Функция в сетевом модуле и ее взаимодействие с загрузчиком были похожи на нормальный API. Такой подход в мире вредоносного ПО встречается нечасто и обычно используется APT-группами высокого уровня, отмечается в отчете.

Благодаря повторному использованию командного сервера (арендованного у Choopa VPS service), методам профилирования зараженной системы и схожести программного кода исследователи приписывают эту кампанию группе Microcin. Хотя ранее эта группировка не использовала упомянутые стиль программирования и архитектуру. Причем в ходе анализа не было обнаружено схожих инструментов с открытым исходным кодом, то есть, похоже, злоумышленники создали троян самостоятельно.

Как было сказано выше, сфера интересов хак-группы остается прежней – шпионаж за дипломатическими организациями. Также хакеры продолжают использовать стеганографию для доставки данных конфигурации и дополнительных модулей в системы жертв, на этот раз с легитимного публичного хостинга изображений cloudinary.com. Среди использованных хакерами изображений исследователи выделили несколько. К примеру, одна картинка оказалась связана с нашумевшим запретом GitLab на наем граждан России и Китая, а другая почему-то демонстрирует одинокий носок в стиральной машине

Зашифрованным контентом во всех изображениях являются PE-файлы с троянцем и конфигурационными данными, содержащими лишь домен соответствующего командного сервера. Все остальные параметры предоставляет загрузчик.

Отмечается, что с точки зрения программирования схожая с API архитектура модулей и асинхронная работа с сокетами являются прогрессом для группировки. Под этим, в частности подразумевается асинхронная работа с сокетами. С точки зрения объектов пользовательского пространства Windows — это порты завершения ввода-вывода (I/O completion ports). В пространстве ядра ОС им соответствует очередь асинхронного вызова процедур (APC). Данный механизм обычно используется в бэкэнд-приложениях на высоконагруженных серверах, а малварь подобного рода не нуждается в подобном уровне программирования. Из-за этого аналитики полагают, что разработчики зловреда обладают некоторым опытом программирования серверных приложений и пользовались привычным для себя стилем при написании кода.

По мнению исследователей, в последнее время группировка Microcin сделала шаг вперед — не с точки зрения начального вектора заражения, но с точки зрения программирования. Использованный хакерами API-подобный сетевой модуль значительно проще поддерживать и обновлять, а текущие усовершенствования не только затрудняют обнаружение и анализ малвари, но добавляют новый подход к ПО и приближают группу к реализации модульной платформы.

Детальный технический анализ обнаруженного трояна можно найти в отчете экспертов.

Источник