Экспертный центр безопасности компании Positive Technologies (PT Expert Security Center, PT ESC) выявил новые атаки группировки APT31 и изучил ее новый инструментарий.
Это вредоносное ПО, использующее функции удаленного доступа и позволяющее злоумышленникам контролировать компьютер или сеть жертвы.
Исходным вектором атак стал фишинг — один из самых распространенных видов социальной инженерии. По данным экспертов, в общей сложности с января по июль текущего года по миру было отправлено более десятка вредоносных рассылок, а следы злоумышленников обнаружены в Монголии, США, Канаде и Республике Беларусь. Теперь группировка APT31, известная атаками на госорганы разных стран, проявила активность и в России.
В исследовании угроз информационной безопасности (threat intelligence) специалисты PT Expert Security Center обнаружили отправляемые в Монголию рассылки с вредоносным содержимым, не встречавшимся ранее. Впоследствии аналогичные атаки были выявлены в России, США, Канаде и Республике Беларусь. Детальный анализ вредоносного ПО, а также многочисленные пересечения по функционалу, применяемым техникам и механизмам — начиная с внедрения вредоносного кода и до используемых логических блоков и структур, — позволили экспертам Positive Technologies соотнести выявленные образцы с активностью группы APT31.
APT31 (она же Hurricane Panda и Zirconium) активна по меньшей мере с 2016 года, ее ключевые интересы — кибершпионаж и сбор конфиденциальных данных, представляющих стратегическую важность.
Группа проявляет особый интерес к госсектору по всему миру: ее жертвами в разное время становились правительство Финляндии, и, предположительно, правительства Норвегии и Германии. Ряд исследователей предполагает, что за серией атак на организации и лица, близкие к кандидатам в президенты США, во время предвыборной компании 2020 года тоже стоит APT31.
В числе других целей группировки — аэрокосмические и оборонные предприятия, международные финансовые компании, сектор высоких технологий, телекоммуникационная отрасль и медиа.
В ходе исследования одного из последних образцов вредоносного ПО специалисты PT ESC обнаружили ссылку на фишинговый домен inst.rsnet-devel[.]com, имитирующий домен федеральных органов государственной власти и органов государственной власти субъектов РФ для сегмента сети Интернет. По мнению экспертов Positive Technologies, такой вредоносный домен предназначен для того, чтобы ввести в заблуждение как самих госслужащих, так и те компании, которые работают с госструктурами.
Positive Technologies участвует в обмене данными о компьютерных инцидентах в системе ГосСОПКА, координатором работы которой выступает Национальный координационный центр по компьютерным инцидентам (НКЦКИ, cert.gov.ru). В этой инициативе российские компании тех отраслей, которые находятся сейчас в зоне повышенного риска, получат от центра соответствующие уведомления.
«В последние годы фишинг остается одним из самых эффективных инструментов в руках атакующих. Для повышения результативности фишинговых атак злоумышленники создают объекты, имитирующие информационные ресурсы государственных органов, используют подлинные документы и другие достоверные сведения, добытые в ходе компьютерных атак. Это позволяет им формировать письма, вызывающие доверие получателей, а открытие таких писем приводит к проникновению злоумышленников внутрь системы с целью кражи информации, финансовых сведений и проведения деструктивных действий. В последнее время информационные системы государственных органов стали одним из основных объектов устремлений кибергруппировок. Для успешного противодействия таким атакам необходимо оперативное распространение информации об используемых злоумышленниками средствах и методах атак и способах их выявления. Такой механизм реализуется в рамках ГосСОПКА», — отмечает заместитель директора Национального координационного центра по компьютерным инцидентам Николай Мурашов.
«За год у APT31 появились новые версии вредоносного ПО, которые злоумышленники сегодня активно используют, инфраструктура группы, как мы видим, тоже разрастается — все это, вкупе с тем, что ранее группировка не атаковала Россию, позволяет предположить, что она расширяет географию интересов на страны, где ее растущая активность может быть обнаружена, в частности на нашу страну, — рассказывает Денис Кувшинов, глава отдела исследования угроз ИБ Positive Technologies. — Мы полагаем, что в ближайшее время будет выявлено применение этой группой в атаках, в том числе на Россию, и другого инструментария, который можно будет идентифицировать по кодовому соответствию либо сетевой инфраструктуре».
В атаках APT31, изученных специалистами PT ESC за январь — июль текущего года, злоумышленниками использовался одинаковый дроппер. Как показало исследование, его задача — создать на зараженном компьютере вредоносную библиотеку и уязвимое для DLL Sideloading приложение. Запущенное дроппером приложение вызывает одну из функций подгруженной вредоносной библиотеки, после чего управление передается вредоносному коду.
«По сути, обнаруженный зловред — это троян удаленного доступа (remote access trojan, RAT), позволяющий APT-группе отслеживать и контролировать компьютеры либо сеть своих жертв, — рассказал Даниил Колосков, старший специалист отдела исследования угроз ИБ Positive Technologies. — Стоит отметить хитрость разработчиков ВПО: чтобы “приблизить” вредоносную библиотеку к оригинальной версии, ее назвали MSVCR100.dll — библиотека с точно таким же именем входит в Visual C++ для Microsoft Visual Studio и есть почти на всех компьютерах. Кроме того, в качестве экспортов в ней содержатся имена, которые можно найти в легитимной MSVCR100.dll».
В ходе анализа экземпляров вредоносного ПО специалисты PT ESC обнаружили различные версии дропперов, содержащих один и тот же набор функций. При этом в ряде случаев, например при атаках на Монголию, дроппер был подписан валидной цифровой подписью. По мнению экспертов Positive Technologies, она, скорее всего, была украдена, что также говорит о хорошо подготовленной группировке.
Команда PT Expert Security Center продолжает отслеживать активность группы APT31 в России и других странах и не прогнозирует снижение числа ее кибератак в ближайшие месяцы. По словам экспертов компании, организация может обнаружить подобные атаки и противодействовать им при помощи систем выявления инцидентов ИБ (SIEM), систем глубокого анализа трафика (NTA) и решений класса «песочница» (sandbox).
Для сокращения потенциального окна возможностей злоумышленников специалисты Positive Technologies рекомендуют компаниям добавить представленные в отчете индикаторы компрометации в свои средства защиты, а их сотрудникам — оперативно сообщать офицерам ИБ о полученных спам-рассылках.