Pull to refresh
0

Cremes — новое продвинутое вредоносное ПО для кибершпионажа

Reading time 3 min
Views 9.2K
Неделю назад специалисты ФСБ опубликовали интригующий пресс-релиз о вредоносном ПО, которое было обнаружено на компьютерах государственных, а также научных и военных учреждений. Описанные специалистами ФСБ признаки указывали на хорошо подготовленную т. н. state-sponsored кибератаку, в которой использовались жестко направленные (highly targeted), уникальные для каждой жертвы компоненты. Наша антивирусная лаборатория также получила образцы этого вредоносного ПО и AV-продукты ESET обнаруживают их как Win32/Cremes и Win64/Cremes.



Выводы наших специалистов совпали с выводами компании Symantec, которые опубликовали свой отчет, посвященный исследованию Cremes (Remsec). По своей сложности новое вредоносное ПО напоминает уже известное ранее кибероружие, такое как Flame, Regin и EvilBunny. С Flame и EvilBunny, Cremes роднит использование скриптов на языке Lua. Новая кибергруппировка получила название Strider и использовала Cremes для кражи ценной информации у своих жертв.

Согласно данным Symantec, кибергруппа Strider была активна как минимум с октября 2011 г. и специализировалась на кибератаках различных государственных учреждений в России, Китае, Швеции и Бельгии. Отличительной особенностью Strider является жесткая ориентированность на конкретные и интересные для атакующих цели, зачастую в кибератаках использовались уникальные образцы вредоносного ПО.

Cremes представляет из себя настоящую платформу для кибершпионажа, которая использует модульную архитектуру, что дает гибкие возможности в компрометации своих жертв, как и в случае с Flame или Regin. Кроме кражи важной информации с компьютеров жертв, Cremes исполняет важную функцию бэкдора, предоставляя атакующим возможности получения доступа и отправки команд боту на зараженной машине. Cremes использует в своей работе скрипты на языке Lua, данная возможность ранее наблюдалась у Flame (Fiveeyes, Equation) и EvilBunny (Snowglobe, Animal Farm). Также Cremes использует в своей работе механизмы компрометации изолированных air-gapped сетей, что мы наблюдали ранее в использовании хакерской группой Sednit (APT28, Fancy Bear, Pawn Storm).

Согласно информации Symantec, Cremes включает в себя следующие компоненты.

  • Специальный загрузчик с названием файла MSAOSSPC.DLL, который отвечает за загрузку файлов с диска и их исполнение в системе. Файлы полезной нагрузки хранятся на диске в зашифрованном виде.
  • Lua модули, которые используются вредоносным ПО для выполнения некоторых своих задач, включая следующие.
    • Сетевой загрузчик, специализирующийся на загрузке из сети исполняемых файлов и запуске их на исполнение. Для этого может использоваться шифрование RSA/RC6.
    • Загрузчик хоста, который используется для расшифровки и загрузки как минимум трех других Lua модулей в запущенные процессы. Названия этих модулей следующие: ilpsend, updater, kblog (кейлоггер).
    • Кейлоггер, использующийся для получения информации о нажатых пользователем клавишах и передаче этой информации на управляющий сервер атакующих. Этот модуль содержит строку «Sauron» в своем коде. Учитывая его возможности, можно предположить, что авторы назвали этот модуль в честь всевидящего ока из Властелина Колец.

  • Сетевой имплант, который отвечает за прослушивание сетевых подключений по протоколам, включая, ICMP, PCAP и RAW.
  • Простой бэкдор на основе именованного канала, который используется для контроля через именованные каналы и может исполнять передаваемые ему файлы.
  • Расширенный бэкдор на основе именованного канала, который, в отличие от своего предшественника, способен также принимать другие команды на модификацию файлов.
  • HTTP бэкдор, который включает несколько URL-адресов управляющих C&C-серверов.

Для запуска своего кода в режиме ядра, компоненты Cremes могут использовать нестандартный подход, который заключается в использовании уязвимостей в устаревших легитимных драйверах Agnitum Outpost и AVAST. Драйверы находятся в компонентах Cremes.


Рис. Информация о легитимном драйвере Agnitum Outpost, который используется Cremes.

Антивирусные продукты ESET обнаруживают вредоносное ПО кибергруппы Strider под универсальными сигнатурами:

Win32/Cremes
Win64/Cremes
www.virusradar.com
Tags:
Hubs:
+7
Comments 0
Comments Leave a comment

Articles

Information

Website
www.esetnod32.ru
Registered
Founded
Employees
1,001–5,000 employees
Location
Словакия