Pull to refresh
0

BlackEnergy Lite нацелился на Украину и Польшу

Reading time 4 min
Views 8.6K
В последнее время большое количество организаций и частных компаний из различных отраслей промышленности в Украине и Польше становились жертвами направленных атак с использованием различных вредоносных программ. Эти вредоносные программы использовались для получения доступа к внутренним сетям компаний, а также для сбора данных с жестких дисков скомпрометированных компьютеров.



Интересным является тот факт, что в этих вредоносных кампаниях злоумышленниками использовалась новая модификация троянской программы BlackEnergy. На сегодняшний день BlackEnergy представляет из себя семейство вредоносных программ с богатой историей и различными механизмами распространения и установки своего тела на компьютеры пользователей. Первый детальный анализ BlackEnergy был опубликован компанией Arbor Networks еще в 2007 г.

Изначально BlackEnergy задумывался как относительно простой DDoS-бот, но затем превратился в сложную вредоносную программу с модульной архитектурой, которая стала специализироваться на рассылке спама, мошеннических операций онлайн-банкинга и стала использоваться злоумышленниками для направленных атак. Вторая версия этой вредоносной программы содержала в своем составе руткит-компонент и была задокументирована компанией Dell SecureWorks в 2010 г. Обнаруженные направленные атаки служат доказательством того, что BlackEnergy все еще является востребованным средством у киберпреступников.

В то время как широко распространенные модификации BlackEnergy все еще активны in-the-wild, мы обнаружили новые его варианты, которые легко отличить от его «старших братьев». Эти модификации получили название BlackEnergy Lite и в них отсутствует составляющая драйвера режима ядра (руткит), а также значительно ограничена поддержка плагинов. Название «Light» содержится в названии одной из dll вредоносной программы, как показано на скриншоте ниже.


Рис. Директория экспорта для компонента вредоносной программы main_light.dll.

Следует обратить внимание также на то, что распространенные версии BlackEnergy, которые обнаруживались в этом году, использовали драйвер режима ядра (руткит) только для целей внедрения кода полезной нагрузки в процессы пользовательского режима и сам руткит не содержал возможностей по скрытию объектов в системе. В то же время Light версия BlackEnergy не использует драйвер вообще. Вместо этого основная DLL загружается в систему путем простой загрузки через rundll32.exe. Такая особенность уже была описана ранее специалистами F-Secure здесь. Существуют также и другие различия между BlackEnergy и BlackEnergy Lite, они касаются устройства плагинов, формата их хранения и формата данных конфигурации.

Семейство вредоносных программ BlackEnergy использовалось злоумышленниками для достижения многих целей на протяжении своей истории, в том числе, DDoS-атаки, рассылка спама и банковские мошенничества. Обе модификации вредоносной программы и BlackEnergy, и BlackEnergy Lite использовались злоумышленниками в направленных атаках. Используемые вредоносной программой плагины предназначены для распространения своего кода во внутренней сети и сбор данных с жестких дисков скомпрометированных компьютеров.

Мы наблюдали более ста конкретных жертв кампаний по распространению BlackEnergy за период времени отслеживания ботнета. Примерно половина из этих жертв расположены в Украине и еще столько же в Польше. Эти жертвы представляют из себя государственные учреждения, а также другие различные предприятия. Кампании по распространению этого вредоносного ПО, которые мы наблюдали, использовали различные векторы заражения, в том числе, эксплуатация уязвимостей в ОС, методы социальной инженерии через фишинговые почтовые сообщения, а также фальшивые документы Office.

В апреле мы обнаружили вредоносный документ Office (эксплойт), который эксплуатирует уязвимость CVE-2014-1761 в Microsoft Word. Этот эксплойт также был замечен и в других атаках, включая, Miniduke. В случае успешной эксплуатации, шелл-код эксплойта сбрасывает в директорию с временными файлами два файла: исполняемый файл полезной нагрузки эксплойта WinWord.exe и фальшивый документ с названием «Russian ambassadors to conquer world.doc». Исполняемый файл отвечает за извлечение и выполнение дроппера BlackEnergy Lite. Фальшивый документ содержит текст, который отображается пользователю (представлен ниже на скриншоте).



Мы наблюдали и другой вредоносный документ, который эксплуатировал уязвимость CVE-2014-1761. Тема этого поддельного документа отличается от предыдущего и относится к форуму GlobSEC, который проходил в Братиславе в этом году.



Месяцем позже, в мае, мы обнаружили другой вредоносный файл, который использовался злоумышленниками для установки BlackEnergy Lite в систему. Этот исполняемый файл не содержал в себе эксплойтов, а просто был замаскирован под документ MS Word с названием «список паролей» на Украинском языке.



Несмотря на то, что файл был исполняемым, он содержал в своем теле документ со списком стандартных паролей, часть этого документа приведена ниже на скриншоте.



Более поздние кампании по распространению BlackEnergy Lite были активны в Августе и Сентябре, согласно нашей статистике ESET LiveGrid. В нескольких случаях распространения вредоносной программы, мы наблюдали использование злоумышленниками специальным образом подготовленного документа PowerPoint, эксплойтов для Java, а также ПО Team Viewer.
Tags:
Hubs:
+3
Comments 0
Comments Leave a comment

Articles

Information

Website
www.esetnod32.ru
Registered
Founded
Employees
1,001–5,000 employees
Location
Словакия