Хакеры хранят вредоносное ПО в законных облачных сервисах для обхода защиты

Исследователи Trend Micro недавно обнаружили новую хакерскую кампанию, нацеленную в основном на организации, расположенные в Австралии, Японии, Тайване, Мьянме и на Филиппинах. Но злоумышленники могут перенацелить атаки на любую другую страну в любой момент.

Хакеры хранят вредоносное ПО в законных облачных сервисах для обхода защиты. Фото: СС0

Специалисты по безопасности приписывают массовые атаки группе Mustang Panda. Кампания началась в марте текущего года. Злоумышленники создавали фишинговое электронное письмо , отправляли его на поддельный адрес, сохраняя фактическую жертву в списке получателей. Исследователи предполагают, что таким образом злоумышленники хотели свести к минимуму шансы быть обнаруженными антивирусными инструментами или решениями для защиты электронной.

Из сообщения исследователей безопасности:

«Тема письма может быть пустой или иметь то же имя, что и вредоносный архив. Вместо того, чтобы добавлять адреса жертв в заголовок электронного письма «Кому», злоумышленники использовали поддельные электронные письма. Между тем, настоящие адреса жертв были написаны в заголовке «CC», что, вероятно, уклонилось от анализа безопасности и замедлило расследование».

Чтобы избежать обнаружения, злоумышленники хранили вредоносное ПО в законных облачных хранилищах в файле .ZIP или .RAR, поскольку эти платформы обычно заносятся в белый список инструментами безопасности. Однако, если жертва загружала файл архива, то получала эти три настраиваемых штамма вредоносного ПО: PubLoad, ToneIns и ToneShell.

PubLoad — это стейджер, используемый для загрузки полезной нагрузки следующего этапа со своего сервера C2. Он также добавляет новые разделы реестра и запланированные задачи для обеспечения постоянства. ToneIns — это установщик ToneShell, основного бэкдора. Хотя этот процесс может показаться слишком сложным, он работает как механизм защиты от песочницы, объяснили исследователи, поскольку бэкдор не работает в среде отладки.

Основная задача вредоносного ПО — загрузка, скачивание и выполнение файлов. Среди прочего, он может создавать оболочки для обмена данными внутри сети или изменять конфигурацию сна. В последнее время вредоносное ПО получило несколько новых функций, говорят исследователи. Они предполагают, что Mustang Panda работает над совершенствованием своего инструментария и становится все опаснее с каждым днем.

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме