В июле 2020 года мы выпустили исследование APT-атак на государственные учреждения Казахстана и Киргизии с подробным разбором вредоносных программ, найденных в скомпрометированных сетях. В процессе расследования вирусные аналитики «Доктор Веб» проанализировали и описали несколько групп троянских программ, включая представителей как уже встречавшихся специалистам семейств, так и ранее неизвестные трояны, из которых самым главным открытием оказались образцы семейства XPath. Нам также удалось обнаружить ряд признаков, позволивших связать два изначально независимых инцидента. В обоих случаях злоумышленники использовали похожие наборы вредоносного ПО, в том числе одни и те же узкоспециализированные бэкдоры, которыми были инфицированы контроллеры домена в атакованных организациях.
В ходе экспертизы аналитики изучили образцы мультимодульных бэкдоров PlugX, которые применялись для первичного проникновения в сетевую инфраструктуру. Анализ показал, что некоторые модификации PlugX использовали те же доменные имена управляющих серверов, что и другие изученные нами бэкдоры, связанные с целевыми атаками на учреждения государств Центральной Азии. При этом обнаружение программ семейства PlugX свидетельствует о возможной причастности к рассматриваемым инцидентам китайских APT-групп.
По нашим данным, несанкционированное присутствие в обеих сетях продолжалось более трех лет, а за атаками могли стоять сразу несколько хакерских группировок. Расследования столь комплексных киберинцидентов предполагают продолжительную работу, поэтому их редко удается осветить одной публикацией.
В вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии.
В дополнение к описанным в предыдущем материале вредоносным программам особого внимания заслуживает бэкдор ShadowPad. Различные модификации этого семейства являются известным инструментом Winnti — APT-группы предположительно китайского происхождения, активной как минимум с 2012 года. Примечательно, что на компьютере вместе с ShadowPad был также установлен бэкдор Farfli, при этом обе программы обращались к одному управляющему серверу. Кроме того, на этом же компьютере мы обнаружили несколько модификаций PlugX.
В этом исследовании мы разобрали алгоритмы работы обнаруженных бэкдоров. Особое внимание уделено сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре.
Список обнаруженного ВПО
На зараженном компьютере были найдены следующие бэкдоры:
Для дальнейшего исследования мы нашли и проанализировали другие образцы семейства ShadowPad, чтобы более детально рассмотреть сходство бэкдоров семейств ShadowPad и PlugX:
BackDoor.ShadowPad.3,
BackDoor.ShadowPad.4 — модификация ShadowPad, находившаяся в составе самораспаковывающегося WinRAR-дроппера и загружавшая нетипичный для этого семейства модуль в виде DLL-библиотеки.
Подробное исследование образцов ShadowPad и их сравнение с ранее изученными нами модификациями PlugX указывает на высокую схожесть принципов действия и модульных структур бэкдоров обоих семейств. Эти вредоносные программы сближает не только общая концепция, но и нюансы кода: некоторые приемы разработки, идеи и технические решения практически копируют друг друга. Немаловажным фактом является и то, что оба бэкдора находились в скомпрометированной сети государственного учреждения Киргизии.
Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке Dr.Web.
Имеющиеся данные позволяют нам сделать вывод о связи этих семейств, при этом возможны как простое заимствование кода, так и разработка обеих программ одним автором или группой авторов. Во втором случае весьма вероятной видится эволюция PlugX в более новый и совершенный ShadowPad, так как формат хранения вредоносных модулей, применяемый в последнем, многократно затрудняет возможность их обнаружения в оперативной памяти.
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web