- PVSM.RU - https://www.pvsm.ru -

Cremes — новое продвинутое вредоносное ПО для кибершпионажа

Неделю назад специалисты ФСБ опубликовали [1] интригующий пресс-релиз о вредоносном ПО, которое было обнаружено на компьютерах государственных, а также научных и военных учреждений. Описанные специалистами ФСБ признаки указывали на хорошо подготовленную т. н. state-sponsored кибератаку, в которой использовались жестко направленные (highly targeted), уникальные для каждой жертвы компоненты. Наша антивирусная лаборатория также получила образцы этого вредоносного ПО и AV-продукты ESET обнаруживают их как Win32/Cremes и Win64/Cremes.

Cremes — новое продвинутое вредоносное ПО для кибершпионажа - 1

Выводы наших специалистов совпали с выводами компании Symantec, которые опубликовали [2] свой отчет, посвященный исследованию Cremes (Remsec). По своей сложности новое вредоносное ПО напоминает уже известное ранее кибероружие, такое как Flame, Regin и EvilBunny. С Flame и EvilBunny, Cremes роднит использование скриптов на языке Lua. Новая кибергруппировка получила название Strider и использовала Cremes для кражи ценной информации у своих жертв.

Согласно данным Symantec, кибергруппа Strider была активна как минимум с октября 2011 г. и специализировалась на кибератаках различных государственных учреждений в России, Китае, Швеции и Бельгии. Отличительной особенностью Strider является жесткая ориентированность на конкретные и интересные для атакующих цели, зачастую в кибератаках использовались уникальные образцы вредоносного ПО.

Cremes представляет из себя настоящую платформу для кибершпионажа, которая использует модульную архитектуру, что дает гибкие возможности в компрометации своих жертв, как и в случае с Flame или Regin. Кроме кражи важной информации с компьютеров жертв, Cremes исполняет важную функцию бэкдора, предоставляя атакующим возможности получения доступа и отправки команд боту на зараженной машине. Cremes использует в своей работе скрипты на языке Lua, данная возможность ранее наблюдалась у Flame (Fiveeyes, Equation) и EvilBunny (Snowglobe, Animal Farm). Также Cremes использует [3] в своей работе механизмы компрометации изолированных air-gapped сетей, что мы наблюдали [4] ранее в использовании хакерской группой Sednit (APT28, Fancy Bear, Pawn Storm).

Согласно информации Symantec, Cremes включает в себя следующие компоненты.

  • Специальный загрузчик с названием файла MSAOSSPC.DLL, который отвечает за загрузку файлов с диска и их исполнение в системе. Файлы полезной нагрузки хранятся на диске в зашифрованном виде.
  • Lua модули, которые используются вредоносным ПО для выполнения некоторых своих задач, включая следующие.
    • Сетевой загрузчик, специализирующийся на загрузке из сети исполняемых файлов и запуске их на исполнение. Для этого может использоваться шифрование RSA/RC6.
    • Загрузчик хоста, который используется для расшифровки и загрузки как минимум трех других Lua модулей в запущенные процессы. Названия этих модулей следующие: ilpsend, updater, kblog (кейлоггер).
    • Кейлоггер, использующийся для получения информации о нажатых пользователем клавишах и передаче этой информации на управляющий сервер атакующих. Этот модуль содержит строку «Sauron» в своем коде. Учитывая его возможности, можно предположить, что авторы назвали этот модуль в честь всевидящего ока из Властелина Колец.

  • Сетевой имплант, который отвечает за прослушивание сетевых подключений по протоколам, включая, ICMP, PCAP и RAW.
  • Простой бэкдор на основе именованного канала, который используется для контроля через именованные каналы и может исполнять передаваемые ему файлы.
  • Расширенный бэкдор на основе именованного канала, который, в отличие от своего предшественника, способен также принимать другие команды на модификацию файлов.
  • HTTP бэкдор, который включает несколько URL-адресов управляющих C&C-серверов.

Для запуска своего кода в режиме ядра, компоненты Cremes могут использовать нестандартный подход, который заключается в использовании уязвимостей в устаревших легитимных драйверах Agnitum Outpost и AVAST. Драйверы находятся в компонентах Cremes.

Cremes — новое продвинутое вредоносное ПО для кибершпионажа - 2
Рис. Информация о легитимном драйвере Agnitum Outpost, который используется Cremes.

Антивирусные продукты ESET обнаруживают вредоносное ПО кибергруппы Strider под универсальными сигнатурами:

Win32/Cremes www.virusradar.com/en/Win32_Cremes/detail [5]
Win64/Cremes www.virusradar.com/en/Win64_Cremes/detail [6]

Автор: ESET NOD32

Источник [7]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/security/169964

Ссылки в тексте:

[1] опубликовали: http://www.fsb.ru/fsb/press/message/single.htm!id=10437869@fsbMessage.html

[2] опубликовали: http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets

[3] использует: https://securelist.com/analysis/publications/75533/faq-the-projectsauron-apt/

[4] наблюдали: https://habrahabr.ru/company/eset/blog/243309/

[5] www.virusradar.com/en/Win32_Cremes/detail: http://www.virusradar.com/en/Win32_Cremes/detail

[6] www.virusradar.com/en/Win64_Cremes/detail: http://www.virusradar.com/en/Win64_Cremes/detail

[7] Источник: https://habrahabr.ru/post/307372/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best