Бесплатно Экспресс-аудит сайта:

15.05.2020

APT Hangover нацелилась на правительственные организации в Южной Азии

В течение последних 4 месяцев cпециалисты подразделения Unit 42 компании Palo Alto Networks следили за киберпреступной группировкой Hangover (также известной как Neon, Viceroy Tiger, MONSOON), которая использовала вредоносное ПО BackConfig. Жертвами киберпреступников стали правительственные и военные организации в Южной Азии.

BackConfig обладает различными функциями, в том числе возможностью сбора информации о системе и кейлогинга, а также загрузки и выполнения дополнительных полезных нагрузок. Последние версии вредоноса содержат модульные компоненты, облегчающие обновление и повторное использование кода. Как отметили эксперты, преступники также пытаются избежать «песочницы» и других систем автоматического анализа, разделяя вредонос на отдельные компоненты, не вызывающие подозрений.

Заражение системы происходит через документ Microsoft Excel (XLS), доставляемый через скомпрометированные легитимные web-сайты, URL-адреса которых передаются по электронной почте. В документах используется макрос-код на языке Visual Basic for Applications (VBA), который при включении запускает процесс установки нескольких вредоносных компонентов.

Цель вредоносной программы состоит в том, чтобы обеспечить преступникам возможность загружать и выполнять исполняемые файлы, а также загружать и запускать пакетные файлы для запуска команд на целевой системе.

По словам специалистов, образец вредоносного ПО содержит некоторые интересные статические артефакты, в том числе самозаверяющие цифровые сертификаты, используемые для подписи исполняемого файла, предполагающего использование программного обеспечения от компании Foxit Software Incorporated. Неизвестно, почему операторы вредоноса выбрали данную компанию для подражания, но их использование имен файлов и URL-адресов позволяет лучше замаскировать вредоносное ПО.

Практически во всех случаях киберпреступники использовали вредоносные документы, требующие взаимодействия с пользователем, и только один раз за последние несколько месяцев группировка использовала эксплоиты для избежания необходимости выполнения пользователем какого-либо этапа установки.