- PVSM.RU - https://www.pvsm.ru -
Неделю назад специалисты ФСБ опубликовали [1] интригующий пресс-релиз о вредоносном ПО, которое было обнаружено на компьютерах государственных, а также научных и военных учреждений. Описанные специалистами ФСБ признаки указывали на хорошо подготовленную т. н. state-sponsored кибератаку, в которой использовались жестко направленные (highly targeted), уникальные для каждой жертвы компоненты. Наша антивирусная лаборатория также получила образцы этого вредоносного ПО и AV-продукты ESET обнаруживают их как Win32/Cremes и Win64/Cremes.
Выводы наших специалистов совпали с выводами компании Symantec, которые опубликовали [2] свой отчет, посвященный исследованию Cremes (Remsec). По своей сложности новое вредоносное ПО напоминает уже известное ранее кибероружие, такое как Flame, Regin и EvilBunny. С Flame и EvilBunny, Cremes роднит использование скриптов на языке Lua. Новая кибергруппировка получила название Strider и использовала Cremes для кражи ценной информации у своих жертв.
Согласно данным Symantec, кибергруппа Strider была активна как минимум с октября 2011 г. и специализировалась на кибератаках различных государственных учреждений в России, Китае, Швеции и Бельгии. Отличительной особенностью Strider является жесткая ориентированность на конкретные и интересные для атакующих цели, зачастую в кибератаках использовались уникальные образцы вредоносного ПО.
Cremes представляет из себя настоящую платформу для кибершпионажа, которая использует модульную архитектуру, что дает гибкие возможности в компрометации своих жертв, как и в случае с Flame или Regin. Кроме кражи важной информации с компьютеров жертв, Cremes исполняет важную функцию бэкдора, предоставляя атакующим возможности получения доступа и отправки команд боту на зараженной машине. Cremes использует в своей работе скрипты на языке Lua, данная возможность ранее наблюдалась у Flame (Fiveeyes, Equation) и EvilBunny (Snowglobe, Animal Farm). Также Cremes использует [3] в своей работе механизмы компрометации изолированных air-gapped сетей, что мы наблюдали [4] ранее в использовании хакерской группой Sednit (APT28, Fancy Bear, Pawn Storm).
Согласно информации Symantec, Cremes включает в себя следующие компоненты.
Для запуска своего кода в режиме ядра, компоненты Cremes могут использовать нестандартный подход, который заключается в использовании уязвимостей в устаревших легитимных драйверах Agnitum Outpost и AVAST. Драйверы находятся в компонентах Cremes.
Рис. Информация о легитимном драйвере Agnitum Outpost, который используется Cremes.
Антивирусные продукты ESET обнаруживают вредоносное ПО кибергруппы Strider под универсальными сигнатурами:
Win32/Cremes www.virusradar.com/en/Win32_Cremes/detail [5]
Win64/Cremes www.virusradar.com/en/Win64_Cremes/detail [6]
Автор: ESET NOD32
Источник [7]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/security/169964
Ссылки в тексте:
[1] опубликовали: http://www.fsb.ru/fsb/press/message/single.htm!id=10437869@fsbMessage.html
[2] опубликовали: http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets
[3] использует: https://securelist.com/analysis/publications/75533/faq-the-projectsauron-apt/
[4] наблюдали: https://habrahabr.ru/company/eset/blog/243309/
[5] www.virusradar.com/en/Win32_Cremes/detail: http://www.virusradar.com/en/Win32_Cremes/detail
[6] www.virusradar.com/en/Win64_Cremes/detail: http://www.virusradar.com/en/Win64_Cremes/detail
[7] Источник: https://habrahabr.ru/post/307372/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.