Позначка: Майкрософт

Було знайдено Electron Bot в офіційному магазині Microsoft

Дослідники з Check Point Research (CPR) повідомляють про новий виявлений тип зловмисного програмного забезпечення, що поширюється через офіційний магазин Microsoft. Нова загроза здатна брати під контроль облікові записи соціальних мереж у SoundCloud, Google і Facebook.

Дослідники повідомляють, що шкідливе програмне забезпечення вже заразило понад 5000 активних пристроїв у всьому світі. Воно виявляє здатність реєструвати нові облікові записи, входити в акаунти, коментувати і навіть лайкати інші публікації. Зловмисники маскувалися під такі популярні ігри, як «Subway Surfer» і «Temple Run», для розповсюдження шкідливого програмного забезпечення.

Згодом зловмисники зможуть використовувати його як бекдор, щоб потім отримати повний контроль над пристроєм жертви. Більшість жертв шкідливого програмного забезпечення Electron Bot були зі Швеції, Бермудських островів, Іспанії, Болгарії та Росії.

Що таке Electron Bot?

CPR вже повідомив компанію Microsoft про знайдене зловмисне програмне забезпечення та всіх виявлених видавців ігор, які стоять за кампанією. Своє ім’я шкідливе програмне забезпечення отримало від останньої зафіксованої дослідниками його активності C&CdomainElectron-Bot[.]s3[.]eu-central-1[.]amazonaws.com. Шкідливе програмне забезпечення, яке є модульним SEO, використовувалося для шахрайства з кліками та просуванням в соціальних мережах.

Було знайдено Electron Bot в офіційному магазині Microsoft
Ланцюжок зараження шкідливим ПЗ

Зловмисники розпочали свою зловмисну ​​діяльність як кампанію кліків реклами наприкінці 2018 року. У той час зловмисне програмне забезпечення ховалося за програмою під назвою «Альбом від Google Photos» в Microsoft Store, яка видавала себе за легальний продукт Google LLC. Протягом багатьох років зловмисне програмне забезпечення отримувало значні оновлення, зокрема нові функції та методи. Сьогодні хакери в основному поширюють його через платформу Microsoft Store, створюючи десятки заражених додатків (які в більшості випадків є іграми). Зловмисники також не забувають регулярно оновлювати шкідливе програмне забезпечення.

Electron Bot використовує фреймворк Electron, який імітує поведінку користувача під час перегляду веб-сайтів і має функцію оминання захисту веб-сайтів. Electron — це фреймворк, розроблений для створення кросплатформних настільних додатків, які використовують веб-скрипти. Він поєднує час виконання Node.js і механізм візуалізації Chromium, що уможливлює функціонал браузера, який керується сценаріями, наприклад JavaScript.

Можливості Electron Bot

Щоб уникнути виявлення, зловмисники динамічно завантажують шкідливе програмне забезпечення під час виконання зі своїх серверів. Такі дії дозволяють їм у будь-який момент змінити поведінку ботів і змінити зловмисне навантаження програмного забезпечення. Дослідники описали наступний “функціонал” Electron Bot:

  • Він просуває онлайн-продукти, приносячи прибутки за допомогою кліків по рекламі або збільшенням рейтингу магазину, в свою чергу збільшуючи його продажі;
  • Він просуває облікові записи в соціальних мережах, наприклад SoundCloud і YouTube, спрямовуючи трафік на певний контент і таким чином збільшуючи перегляди та кількість кліків по оголошеннях для отримання прибутку;
  • Це також рекламний клікер, комп’ютерний вірус, який працює у фоновому режимі, постійно підключаючись до віддалених веб-сайтів і таким чином створюючи кліки для реклами. Зловмисники отримають прибуток залежно від того, скільки разів було натиснуто оголошення;
  • Чорне SEO, зловмисницький метод, коли хакери, використовуючи тактику пошукової оптимізації, створюють шкідливі веб-сайти, які потім відображатимуться першими в результатах пошуку. Зловмисники також використовують цей метод як сервіс для просування рейтингу інших веб-сайтів.

Як Electron Bot заражає своїх жертв?

Дослідники описують ланцюжок зараження зловмисним ПЗ як звичайний для такого типу шкідливого ПЗ. Він починається з встановлення зараженої програми, яку користувач завантажує з Microsoft Store.

Коли користувач запускає гру, дроппер JavaScript динамічно завантажується у фоновому режимі із сервера зловмисників. Після цього виконується кілька дій, серед яких завантаження та встановлення зловмисного програмного забезпечення та його збереження в папці запуску.

Було знайдено Electron Bot в офіційному магазині Microsoft
Гра Temple Endless Runner 2 в офіційному магазині застосунків Майкрософт

Коли справа доходить до безпосередньої роботи шкідливого програмного забезпечення, при наступному запуску системи воно запускається. Шкідливе програмне забезпечення також встановлює з’єднання з C&C і згодом отримує динамічне шкідливе навантаження JavaScript з набором функцій можливостей. У самому кінці налаштування шкідливого процесу C&C надсилає файл конфігурації, що містить команди для виконання.

Як уникнути зараження шкідливим ПЗ?

Дослідники відзначають, що наразі зловмисне програмне забезпечення не бере участі у високоризикованій діяльності на заражених машинах, але було б не зайве знати, як взагалі уникнути зараження. Electron Bot також може використовуватися хакерами в якості дропера для RAT або навіть програми-вимагача. Крім того, він виконує експлуатацію всіх ресурсів комп’ютера, включаючи обчислення GPU.

Користувачі зазвичай вірять у безпечність програм, що мають принаймні хоча б деяку кількість відгуків. Але користувачам все ж треба з серйозністю підходити до цього питання. Ми повторюємо це ще раз: недостатньо, щоб додаток вважався офіційним лише тому, що він має певну кількість відгуків.

Потрібно уважніше придивлятися до цих відгуків. Вони мають читаться так, як такі, що були написані реальними людьми. Це може бути нескладним завданням, щоб перевірити, якщо поставити себе на місце реального користувача.

Було знайдено Electron Bot в офіційному магазині Microsoft
Жорстко закодовані коментарі зловмисного ПЗ на Ютуб

Просто поміркуйте про власний відгук про програму, з якою ви працювали вже протягом тривалого часу. Те, що вам спадає на думку, якраз і може бути прикладом реального відгуку реальної людини.

Наприкінці своєї статті з оглядом нової загрози дослідники з CPR додали кілька порад з безпеки щодо того, як уникнути зараження таким та подібним видом шкідливої програми. І поради будуть наступними:

  • Перш ніж прийняти рішення про завантаження будь-якої програми, уважно придивіться до її назви. Чи звучить вона так само, як, як ви знаєте звучить оригінальна назва цієї програми?
  • Краще не завантажувати програму з відносно невеликою кількістю відгуків. Щось 100 відгуків або менше для програми, як-от якийсь месенджер, повинно вас насторожити;
  • Загальне правило полягає в тому, що відгуки повинні бути з різними часовими проміжками, позитивними та реалістичними.

На додаток до цих порад ви також можете перевірити видавця програми та знайти інформацію про нього в Інтернеті. Якщо це щось темне, ви, швидше за все, отримаєте очікуваний результат.

Microsoft за замовчуванням блокує Інтернет-макроси в Office

Корпорація Майкрософт оголосила, що вносить нові зміни до функцій автоматизації, які називаються активним вмістом у Office (найпоширенішими видами є макроси). Якщо раніше користувачі могли ввімкнути їх, натиснувши відповідну кнопку, тепер вони побачать кнопку Докладніше, перейшовши за якою вони можуть дізнатися про можливу небезпеку, яку можуть представляти отримані файли, і які є можливі рішення для уникнення її. Поки користувач перейшов до кнопки Докладніше, інтернет-файли з макросами будуть заблоковані за замовчуванням.

Хакери активно використовують макроси для злочинних операцій

У компанії стверджують, що такі кроки повинні зменшити випадки порушень кібербезпеки в компаніях і на комп’ютерах домашніх користувачів. Вони пояснюють, що хакери протягом останніх років активно використовували цю корисну функцію у своїх злочинних операціях. Просто надіславши вкладення через електрону пошту або якимось іншим способом, кіберзлочинці за дапомогою Інтернет-файлів з макросами могли успішно втілювати перші кроки атаки.
Тепер, щоб відкрити файл, отриманий з Інтернету, користувач повинен перейтим спочатку до кнопки Докладніше, де вони можуть дізнатися, як правильно відкрити файл, не наражаючи себе на небезпеку. Зміна торкнеться п’яти програм Office, які запускають макроси: Word, Visio, PowerPoint, Excel і Access. Зазначена зміна почне впроваджуватися у версії 2203 Current Channel (Попередній перегляд) на початку квітня 2022 року. Після цього вона буде представлена ​​в інших каналах оновлення, як-от Semi-Annual Enterprise Channel, Monthly Enterprise Channel і Current Channel.

Компанія також планує ввести такі ж зміни в Office 2013, Office 2016, Office 2019, Office 2021 і Office LTSC. Точні дати ще не відомі.

«Широкий спектр загроз продовжує загрожувати нашим клієнтам, надсилаючи документи та заманюючи їх, запустити шкідливий макрокод. Зазвичай шкідливий код є частиною документа, який походить з Інтернету (вкладення електронної пошти, посилання, завантаження з Інтернету тощо). ). Після ввімкнення шкідливий код отримує доступ до персонального комп’ютера, документів і мережі користувача, яка його увімкнула».
Том Галлахер, менеджер з розробки партнерської групи, відділ безпеки офісу.

Microsoft вносить зміни до макросів лише в Windows


Макроси є корисною функцією програм Microsoft Office, які дозволяють автоматизувати деякі операції, що виконуються в одній із програм Office. Наприклад, щомісяця ви повинні складати звіт для свого бухгалтера. І кожного разу в цьому звіті потрібно виконувати одне й те саме форматування документа. Але з макросами Office все можна набагато зпростити, якщо просто автоматизувати деякі дії за допомогою макросів. Наврядчи користувачеві вони знадобляться , просто редагуючи або читаючи документ у Word. Але хакери використовують макроси для поширення шкідливих програм, отримання віддаленого доступу та крадіжки конфіденційної інформації.

З новою зміною, внесеною для користувачів, замість того, щоб просто дозволяти запуск Інтернет-макросів, буде представлено ​​інформацію про те, як безпечно ввімкнути макроси, зберегти файл та видалити позначку Інтернету (MOTW). Крім того, користувачі можуть прочитати про ризики безпеки, пов’язані з використанням макросів зловмисниками, а також дізнатися про практику запобігання фішингу та шкідливому програмному забезпеченню.

Microsoft за замовчуванням блокує Інтернет-макроси в Office
Рядок повідомлень, що попереджає користувача про ризик безпеки, вказуючи на заблоковані макроси з Інтернету

MOTW — це атрибут, який Windows призначає файлам, які походять із ненадійного джерела (Інтернет чи зона з обмеженим доступом). Атрибут додається лише до файлів, збережених у файловій системі NTFS, але не до файлів, збережених на пристроях із форматуванням FAT32.

Адміністратори в організаціях можуть використовувати політику «Блокувати запуск макросів у файлах Office з Інтернету», щоб запобігти ненавмисному відкриванню працівниками файлів з Інтернету, які містять можливі шкідливі макроси. В оголошенні компанії говориться, що якщо адміністратор увімкне цю політику, зміна за умовчанням не буде увімкнена в організації.

Microsoft за замовчуванням блокує Інтернет-макроси в Office
Механізм ідентифікації шкідливості макроса

Microsoft наголошує на важливості включення цієї політики в роботу організацій. Вони кажуть, що вже давно рекомендували блокувати макроси, отримані з Інтернету, у базових положеннях безпеки опублікованих компанією. Захист клієнтів за допомогою такої політики за замовчуванням — це наступний крок посилення кібербезпеки, так Хані Саліба, технічний директор-партнер Office Calc, висловила свою думку щодо внесення змін до роботи механізму макросів.

Інші способи дізнатися, чи ваші файли походять з безпечного джерела будуть наступними:

  • Користувач може відкривати файли з цифровим підписом макросів і наданим сертифікатом, який користувач потім встановлює як довіреного видавця на своєму локальному пристрої;
  • Користувач також може відкривати файли, які походять з надійного джерела.

Перш ніж увімкнути політику для організацій, Microsoft рекомендує ІТ-адміністраторам попередньо обговорити це з бізнес-підрозділами, які використовують макроси у своїх файлах Office, наприклад, з фінансовим відділом, а також з незалежними постачальниками програмного забезпечення (ISV), на яких організація покладається у своїй роботі, і які також використовують макроси в файлах Office.

Як уникнути шкідливих макросів?

Тож якщо ви все ще розмірковуєте, що робити з тим електронним листом, надісланим кілька днів тому, розгляньте наступне:

  • Спливаюче повідомлення закликає вас увімкнути активний вміст. Ви завантажили файл з Інтернету й побачили спливаючі вікна чи інші повідомлення із проханням увімкнути активний вміст. Більш ніж часто хакери застосовують таку тактику, щоб заманити користувача, який так запустить атаку. Такі речі повинні викликати у вас підозру щодо фактичної безпеки відповідного файлу;
  • Невідомий адресат просить увімкнути активний вміст. Найпоширеніша тактика зловмисника полягає в тому, щоб створити певну нагальність в електронному листі та прикріпити документ, об’єкт зазначеної поспішності. Жодна компанія не попросить вас скасувати замовлення через документ Excel, і вам не потрібні макроси для того, щоб лише прочитати документ в Word;
  • Ви не очікували жодного листа навіть від людини, яку ви знаєте. Можливо, ви отримали електронний лист від когось, з ким ви працюєте, або мали попередню переписку, але не пам’ятаєте, щоб насправді чекали на його. В даному випадку краще не відкривати отримані вкладення електронної пошти. Фішери саме і очікують, що ви зробите це, вдаючи когось, з ким потенційна жертва має якісь кореспондентські зв’язки.

Крім того, зміна не вплине на Office в Інтернеті, Office на пристроях Android або iOS і Office на Mac. Це торкнеться лише пристроїв на базі Windows.

Microsoft випустила патчі для січневих багів

Нещодавно корпорація Майкрософт випустила позапланові патчі для усунення багів в січневих оновленнях. У другий вівторок січня компанія зробила оновлення, які викликали багато нарікань з боку клієнтів. Проблеми були з віртуальними машинами (VM), контролерами домену (DC) і VPN-з’єднаннями, тощо. Користувачі можуть завантажити оновлення з каталогу оновлень Microsoft або через стандартну систему Windows Update (як додаткові оновлення).

Було випущено патчі для багів січневих оновлень

Патчі KB5010794 (Windows 8.1, Windows Server 2012 R2) і KB5010797 (Windows Server 2012) доступні лише для самостійного завантаження з каталогу оновлень Microsoft. А за допомогою Windows Update ви можете завантажити наступні оновлення:

Windows Server 2008 SP2: KB5010799

Windows 7 SP1: KB5010798

Windows 10 1507: KB5010789

Windows 10 1607, Windows Server 2016: KB5010790

Windows 10 1909, Windows Server, version 1909: KB5010792

Windows 10 20H1, Windows Server, version 20H1: KB5010793

Windows 10 20H2, Windows Server, version 20H2: KB5010793

Windows 10 21H1: KB5010793

Windows 10 21H2: KB5010793

Windows Server 2022: KB5010796

Windows 11 21H1 (original release): KB5010795

Планові січневі оновлення компанії виявилося мали в собі декілька багів

Перед тим, як Microsoft випустила позапланові патчі для проблемних оновлень, адміністратори та користувачі Windows 10 і 11 скаржилися на різноманітні проблеми, що виникли після встановлення планових січневих оновлень компанії. Користувачі нарікали на проблеми з підключенням L2TP VPN під час роботи з клієнтом VPN. Коли користувачі намагалися підключитися до пристрою, це призводило до наступної помилки:

Microsoft випустила патчі для січневих багів
Один із багів призводив до збоїв з роботою VPN

У журналах журналів подій виводився код помилки 789, що вказував на невдале підключення VPN. Системні адміністратори також скаржилися, що останні оновлення не дозволяють їм підключатися до брандмауерів Cisco Meraki, SonicWall і WatchGuard.

Пізніше компанія скасувала січневе кумулятивне оновлення для Windows Server. Тут баги збили роботу контролера домену, який почав постійно перезавантажуватися. Проблема торкнулася також Hyper-V і томів ReFS. Hyper-V — це технологія Microsoft, яка дозволяє користувачам створювати віртуальні середовища з кількох операційних систем на одному фізичному сервері. Після січневих оновлень цей інструмент віртуалізації чомусь постійно став зависати.

Resilient File System (ReFS) — це файлова система, розроблена компанією Microsoft, яка була створена для обходу обмежень NTFS (іноді називається «The New Technology File System»). Користувачі не могли отримати доступ до томів файлової системи через баги в січневих оновленнях.

Компанія випустила оновлення як частину щомісячних наборів (Вівторок оновлень). Цього місяця розробники виправили шість вразливостей нульового дня та одну критичну вразливість. Оновленням для Windows Server було присвоєно такі ідентифікатори: KB5009555 (Windows Server 2022), KB5009557 (Windows Server 2019) і KB5009624 (Windows Server 2012 R2). Ці оновлення наразі недоступні в Windows Update.

Вразливість RemotePotato0

Ще одну вразливість нульового дня Microsoft вирішила не усувати. Йдеться про вразливість RemotePotato0, яка дозволяє зловмисникам отримати адміністраторські привілеї у всіх версіях операційної системи Windows. Вразливість отримала неофіційний патч від компанії 0patch. Вразливість не отримала власного ідентифікатора CVE. У разі успішної експлуатації може призвести до повного компромісу домену.

Спеціаліст з SentinelLabs Антоніо Кокомаці був першим, хто звернув увагу на проблему ще в квітні 2021 року. Використовуючи вразливість, хакери зможуть отримати права адміністратора домену після атаки на реле NTLM.

«RemotePotato0 дозволяє зловмиснику з звичайними привілеями запускати кілька спеціальних програм у сеансі будь-якого іншого користувача. Ці програми можуть надсилати хеш NTLM на IP-адресу, яку вибирає зловмисник. В результаті зловмисник має можливість підробити свій запит на домен і видати себе за адміністратора. Після цього він запросто може додати себе до групи адміністраторів», – прокоментував вразливість у блозі компанії засновник 0patch Мітя Колсек.

Але використання вразливості можливе лише в тому випадку, якщо зловмисник якимось чином змусить адміністратора увійти у сеанс одночасно з ним. Тільки так експлуатація буде успішною. Неофіційний патч буде доступний, поки Microsoft не випустить офіційний.

Як користуватися каталогом оновлень Microsoft?

Хоча в застосуванні оновлень через Windows Update немає нічого складного (вам просто потрібно запустити завантаження самостійно, якщо виконання не налаштовано автоматично), та вас може збентежити термін «Каталог оновлень Microsoft». Каталог оновлень Microsoft — це служба Microsoft, яка надає користувачам сховище чи список оновлень для всіх операційних систем, які Microsoft підтримує на даний момент. Матеріали варіюються від патчів, функцій Windows, оновлених системних файлів до драйверів пристроїв.

Насправді каталогом в основному користуються підприємства та бізнес, але ним можуть користуватися і звичайні юзери. Вам можливо він стане у нагоді, якщо ви шукаєте якесь конкретне оновлення для свого комп’ютера. Наприклад, пошкоджений/відсутній драйвер. Що ж до ІТ-адміністраторів в корпоративних системах, то вони користуються каталогом для забезпечення стабільності робити комп’ютерів, а саме слідкуюють, щоб комп’ютери в їхньому домені отримували правильні оновлення системи, або перевіряють чи нові оновлення не вплинуть якимсь чином на роботу корпоративної системи домену у години пік. Перш ніж користуватися каталогом оновлень Microsoft , ознайомтеся з загальними правилами ефективної роботи з ним нище.

Microsoft випустила патчі для січневих багів
Каталог оновлень Microsoft

Ви можете отримати доступ до сайту з будь-якого браузера і , перейшовши, побачите там лише рядок пошуку в правій частині сайту. Пам’ятайте, що не потрібно вводити не сконкретизовані пошукові запити, як-от «Оновлення безпеки» або «Оновлення Windows 10». Пошук може видати вам в такому випадку до тисячі записів. Ні, тут треба бути конкретним. Правильний спосіб знайти потрібне оновлення буде таким: KB5005033. KB ( Knowledge Base) розшифровується як База знань, номер для кожного оновлення різний.

Microsoft випустила патчі для січневих багів
Як бачите на одну і ту саму ідентифікацію було знайдено декілька файлів

Просто введіть таку ідентифікацію шуканого файлу та натисніть кнопку пошуку. Ви також можете звузити пошук, додавши більше деталей про запит. Наприклад, можна додати x64, щоб конкретизувати запит, що шукається оновлення саме для 64-розрядної системи. Файли з розширеннями.msu є простими програмами встановлення. Ті, що з .cab є архівами для драйверів пристроїв.
Коли з’явиться результат пошуку, клацніть оновлення, щоб відкрити окреме вікно, яке покаже вам деталі вибраного оновлення. Якщо це той файл, який ви шукали, перейдіть до кнопки завантаження.

Microsoft випустила патчі для січневих багів
Перегляньте детально опис кожного варіанту знайденого і завантажте потрібний файл

Майте на увазі, що деякі файли мають ідентичні номери. Тому переконайтеся, що ви уважно перевірили файлову версію та операційну систему.

Українські організації під атакою зловмисного програмного забезпечення

У своєму блозі компанія Майкрософт опублікувала відомі їй факти про зловмисне програмне забезпечення, яке нещодавно атакувало сайти кількох українських урядових та інших організацій. Команда вперше виявила його на серверах кількох організацій, що розташовані на території України 13 січня 2022 року. Вони повідомили про цей факт всі відповідні державні установи в США та інших країнах, а також жертв атаки. Команда поділилася всією наявною на даний момент інформацією про загрозу з іншими установами зі сфери кібербезпеки. На момент публікації посту спеціалісти виявили зловмисне програмне забезпечення в десятках уражених систем, усі розташовані в Україні.

В системах українських організацій було знайдено шкідливе програмне забезпечення

Хоча фахівці компанії поки не знають, яка кіберзлочинна група може стояти за цим. Вони продовжують спостерігати за ситуацією. Зловмисне програмне забезпечення атакувало деякі критично важливі державні органи виконавчої влади, служби реагування на надзвичайні ситуації та інші організації, розташовані в Україні. Серед постраждалих є ІТ-фірма, яка надає послуги управління державними та приватними сайтами. Команда побоюється, що кількість жертв може виявитися більшою.

«З огляду на масштаби спостережуваних інтрузій, MSTIC (Центр розвідки загроз Майкрософт) не може сказати напевно про наміри виявлених деструктивних дій, але вважає, що вони становлять підвищений ризик для будь-якого державного органу, некомерційної чи комерційної організації, які самі знаходяться в Україні чи мають там частину інфраструктури», йдеться в другій публікації з блогу Майкрософт по цій темі.

Вони пояснюють, що зловмисне програмне забезпечення могло заразити більше організацій. Але фахівці додають, що поки не спостерігають жодних ознак використання вразливостей у продуктах та сервісах компанії Майкрософт. Команда продовжує тісно співпрацювати з іншими фахівцями з кібербезпеки, щоб допомогти виявити та подолати наслідки атаки жертвам зловмисного програмного забезпечення. Сама корпорація ввімкнула захист від цього зловмисного програмного забезпечення в таких своїх продуктах як Microsoft 365 Defender Endpoint Detection (EDR) і в антивірусі (AV). Механізм безпеки працюватиме у різних інфраструктурах як в хмарних так і фізичних. Спостереження за ситуацією триває.

Технічні відомості про шкідливе програмне забезпечення

Крім того, команда надала технічного змісту факти щодо ситуації. Спеціалісти з кібербезпеки зможуть використати її для виявлення та застосування необхідного захисту від згадуваного шкідливого програмного забезпечення. Цікаво те, що воно маскується під програму-вимагач, але після активації робить комп’ютер абсолютно непридатним до роботи. Точніше, у удаваного програмного забезпечення-вимагача відсутній механізм відновлення. Зловмисне програмне забезпечення, яке відстежується за ідентифікацією DEV-0586, робить атакований пристрій непрацездатним виконанням ціленаправлених деструктивних дій. MSTIC (Центр розвідки загроз Майкрософт) використовує позначення DEV-#### для тимчасово невідомих за походженнням загроз. Як тільки джерело загрози знайдено, їй присвоюється інша відповідна назва.

Наразі Microsoft запровадила заходи захисту, які маркуюють загрозу як сімейство шкідливих програм WhisperGate (наприклад, DoS:Win32/WhisperGate.A!dha) для Microsoft Defender кінцевої точки та Microsoft Defender Antivirus. Вони працюватимуть як у хмарних середовищах, так і локально. Хоча аналіз цього шкідливого програмного забезпечення триває, Microsoft поділилася деякими вже відомими деталями у своїй другій публікації в блозі. Спочатку вони детально пояснили, чому команда вважає, що зловмисне програмне забезпечення не є загрозою типу програм-вимагачів. За словами фахівців, дане зловмисне програмне забезпечення має кілька невідповідностей як для програм-вимагачів.

Українські організації під атакою зловмисного програмного забезпечення
Жертви зловмисного ПЗ отримували такі записки про викуп

Зазвичай записки про викуп мають користувацькі ідентифікатори. Потім злочинці інструктуюють жертву надіслати його їм у процесі переговорів. Карти користувацьких ідентифікаторів забезпечують маршрут до ключа розшифровки даних конкретної жертви. У випадках з цим зловмисним програмним забезпеченням, що прикидається програмою-вимагачем його немає. Зазвичай кіберзлочинці створюють веб-сайти з форумами підтримки або навіть додають адресу електронної пошти, все для того, щоб жертвам було легше потім зв’язатися з ними. Але тут хакери додали лише ідентифікатор Tox ID, ідентифікатор, який використовується з протоколом обміну повідомленнями, зашифрованим Tox.

Зараз хакери здебільшого не пишуть у своїх записках про викуп суми грошей, які вони хочуть, або адреси гаманців криптовалюти. В цьому випадку однакова адреса гаманця спостерігалась у всіх інтрузіях шкідливої програми. Фахівці виявили його єдину активність 14 січня з перерахуванням невеликої суми. Коли програмне забезпечення-вимагач працює, воно залишає можливість для відновлення файлової системи. Ця шкідлива програма повністю перезаписує MBR (основні завантажувальні записи) без можливості їх відновлення. Зловмисники виконують завантаження одного і того самого пейлоаду. Звичайно для програм-вимагачів вони кастомізуються.

Як розвивається ситуація?

Шкідливе програмне забезпечення працює з території України, і фахівці кажуть, що воно схоже на активність Master Boot Records (MBR) Wiper. Якщо коротко, то робота шкідливого ПЗ складається з двох етапів. У першому він перезаписує основний завантажувальний запис, щоб опісля цього відобразити підроблену записку про викуп. У наступному він пошкоджує файли жертв до невідновного стану. Зловмисники запускають зловмисне програмне забезпечення через Impacket (загальнодоступний інструмент, який кіберзлочинці часто використовують для роботи з мережевими протоколами). Двоетапне зловмисне програмне забезпечення розташовується в різних робочих каталогах, серед них: C:\temp, C:\ProgramData, C:\ і C:\ PerfLogs. Часто зловмисне програмне забезпечення має назву stage1.exe. У цій частині своєї зловмисної роботи воно перезаписує головний завантажувальний запис (MBR) у системах жертв і відображає записку про викуп. Основний завантажувальний запис (MBR) є частиною будь-якого жорсткого диску, який допомагає завантажувати операційну систему в основну пам’ять комп’ютера або в оперативну пам’ять.

Зловмисне програмне забезпечення активується, коли заражений пристрій вимкнено. Під час виконання наступного етапу stage2.exe завантажує іншу частину шкідливого програмного забезпечення, збереженого на каналі Discord. Зловмисники захардкодували посилання для завантаження в програмі завантажувачі. Пошкоджувач перезаписує вміст файлів з фіксованою кількістю байтів 0xCC. Загальний розмір файлів тоді становить 1 МБ. Зробивши це, зловмисне програмне забезпечення перейменує кожен файл із випадковим на перший погляд чотирибайтним розширенням.

Наразі команда все ще працює над аналізом зловмисного програмного забезпечення, а оновлення щодо всієї ситуації будуть згодом. Наразі незрозуміло, який нинішній етап операційного циклу цих зловмисників і скільки жертв виявиться в Україні чи в інших географічних місцях. Як запобіжний захід захисту команда також дала рекомендації щодо того, які прийняти належні міри безпеки. Майкрософт відомі нинішні поточні геополітичні події в Україні, і компанія закликає всіх зацікавлених взяти до уваги відомі на даний момент факти.

Новий PowerShortShell скрипт

24 листопада 2021 року дослідники з SafeBreach Labs опублікували дослідження щодо нової виявленої кібер загрози можливо іранського походження, в якій задіяно експлойт Microsoft MSHTML Remote Code Execution (RCE). Зловмисники атакуюють жертв за допомогою розширюваної оболонки від Майкрософт PowerShell. ShadowChasing вперше повідомила про загрозу нового PowerShortShell на своїй сторінці в Twitter. Однак спеціалістам не вдалося одразу отримати хеш/код PowerShell Stealer, оскільки він тривалий час був недоступний у загальнодоступних репозитаріях шкідливих програм.

Дослідники кажуть, що з новим PowerShortShell могли оперувати іранські хакери

У своєму дослідженні SafeBreach Labs зробила аналіз повного ланцюга атаки, деталізувала виконання фішингових атак, які вперше почалися в липні цього року. Але найважливіше, зі слів самих дослідників, їм вдалося отримати код PowerShell Stealer, який отримав назву PowerShortShell. Скрипт був названий ними саме так через свою структуру, він містив трохи більше 150 рядків. Проте незважаючи на це, скрипт PowerShell дозволяв зловмиснику отримати доступ до широкого спектру інформації: файлів облікових записів в Телеграм, знімків екрана та оточення жертви.

«Майже половина жертв зафіксована у Сполучених Штатах. Виходячи з вмісту документа Microsoft Word, який звинувачує лідера Ірану у «короновірусній різанині» та характеру зібраних даних, ми припускаємо, що жертвами можуть бути іранці, які живуть за кордоном і можуть розглядатися як загроза ісламському режиму в Ірані», SafeBreach Labs пише у своєму дослідженні.

У своїх атаках зловмисник за допомогою PowerShortShell користався CVE-2021-40444. Це вразливість віддаленого виконання коду Microsoft Office MSHTML, яка дозволяє жодних макросів і вимагає лиш одноразового схвалення «відображення вмісту». Дослідники вважають, що атаки можуть бути пов’язані з ісламським режимом Ірану, судячи з використання методу нелегального доступу до облікового запису Telegram. Rampant Kitten, Infy і Ferocious Kitten, іранські хакерські угрупування, також використовували його. Цікаво, що в даному випадку застосовувалось досить виняткове використання експлойту, тому що більшістю все ж застосовуються трюки соціальної інженерії.

Атака пройшла у двоє етапів

Сама атака з використанням PowerShortShell складалася з двох етапів: спочатку проведення фішингу, а потім розсилання електронних листів зі шкідливими вкладеннями. Дві хвилі фішингових атак мали місце в липні 2021 року, коли хакери “виловлювали” у жертв дані для входу у їхні аккаунти Instagram та Gmail. Для цього використовували той самий сервер C2 Deltaban[.]dedyn[.]io. Зловмисники змаскували фішингову HTML-сторінку під справжнє туристичне агентство deltaban.com. Клік на який перенаправляв натомість на коротку іранську URL-адресу: https://yun[.]ir/jcccj. Ця URL-адреса виводила вікно з рядками для введення даних для входу у Гугл аккаунт [.]dedyn[.]io/Social/Google_Finish. Домен було зареєстровано у липні 2021 року.

Новий PowerShortShell скрипт і вразливість Microsoft MSHTML
Хакери замаскувалися під справжнє туристичне агенство

Зловмисники скидали таким чином викрадені облікові дані у файл out.txt, який будь-хто міг запросто переглянути у відкритому доступі. Друга фішингова кампанія зачепила Instagram. Тут облікові дані також відправлялися до того самого файлу out.txt. Усі фішингові, C2 та сервери зараження виходили з 95.217.50.126.

Новий PowerShortShell скрипт і вразливість Microsoft MSHTML
Те, що отримували жертви в одному з електронних листів

У свою чергу, експлойт-атака почалася 15 вересня 2021 року. Жертва отримувала електронний лист із документом Winword написаний фарсі. Перший документ під назвою Mozdor.docx. містив декілька зображень іранських солдатів. У другому із заголовком جنایات خامنه ای.docx (Злочини Хаменеї.docx) йшлося: «Один тиждень з Хаменеї; Скаржіться на винуватців короновірусної різанини, за яку винен і лідер». У ньому також були прикріпленні посилання на іранський новинний сайт та обліковий запис журналістки IranWire у Twitter. Файли Word підключалися до хакерського сервера, запускали шкідливий html, а потім перекидали dll (динамічно-з’єднувальна бібліотека) до каталогу %temp%. Файл Mozdor.docx містив експлойт у файлі document.xml.rels. Він виконував mshtml:http://hr[.]dedyn[.]io/image.html, а другий документ виконував mshtml:http://hr.dedyn.io/word.html. Ексфільтрація файлів Telegram здійснювалася до”https://hr.dedyn.io/upload2.aspx”. Дослідникам не вдалося знайти конкретних жертв атак, але вони оформили карту їх найбільшої кількості на основі отриманих даних. Найбільше було зареєстровано в США, Російській Федерації та Нідерландах.