Хакеры годами воровали конфидент с устройств на Windows

Исследователи из Cybereason обнаружили новую шпионскую кампанию, которая проводилась не менее трех лет и включала в себя новые штаммы вредоносного ПО , редко встречающееся злоупотребление некоторыми функциями Windows и «сложную цепочку заражения».

Хакеры годами воровали конфидент с устройств на Windows. Фото: Pixabay

Согласно отчету компании, актор, известный как Winnti (также известный как APT 41, BARIUM или Blackfly), нацелен на многочисленные технологические и производственные компании в Северной Америке, Европе и Азии, по крайней мере, с 2019 года.

Цель кампании состояла в том, чтобы идентифицировать и изъять конфиденциальные данные, такие как интеллектуальная собственность, разработанная жертвами, конфиденциальные документы, чертежи, диаграммы, формулы и конфиденциальные данные, связанные с производством. Исследователи полагают, что злоумышленники украли сотни гигабайт ценной информации.

Эти данные также помогли злоумышленникам наметить сети своих жертв, организационную структуру, а также конечные точки , что дало им преимущество при эскалации ситуации (например, с помощью программы-вымогателя).

В своей кампании Winnti передовой субъект постоянной угрозы развернул новые версии уже известного вредоносного ПО (Spyder Loader, PRIVATELOG и WINNKIT), а также развернул ранее неизвестное вредоносное ПО — DEPLOYLOG.

По словам исследователей, для развертывания вредоносного ПО группа выбрала «редко встречающееся» злоупотребление функцией Windows CLFS. Судя по всему, группа использовала механизм Windows CLFS (Common Log File System) и манипуляции с транзакциями NTFS, что позволило ей скрыть полезную нагрузку и избежать обнаружения продуктами безопасности.

Сама доставка полезной нагрузки была описана как «сложная и взаимозависимая». Исследователям было очень трудно анализировать каждый компонент в отдельности.

Тем не менее, им удалось разобраться и они утверждают, что арсенал вредоносных программ Winnti включает Spyder (сложный модульный бэкдор), STASHLOG (инструмент начального развертывания, который «скрывает» полезные нагрузки в Windows CLFS), SPARKLOG (извлекает и развертывает PRIVATELOG для эскалации привилегий и обеспечения сохранения на целевой конечной точке), PRIVATELOG (извлекает и развертывает DEPLOYLOG) и DEPLOYLOG (устанавливает руткит WINNKIT). Наконец, есть WINNKIT, руткит уровня ядра Winnti.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме