Хакерская атака на израильских служащих через соцсети привела развертыванию нового вредоносного ПО.
Киберпреступная группировка "APT-C-23", которую, как считают специалисты по безопасности, поддерживает ХАМАС, была уличена в "ловле на сладенькое" израильских чиновников. Злоумышленников интересовали сотрудники оборонных, юридических, правоохранительных и правительственных организаций.
Киберзлодеи использовали высокоуровневые приемы социальной инженерии - создание фальшивых профилей в социальных сетях и длительное взаимодействие с целью - прежде чем установить на устройство жертв шпионское ПО.
По данным аналитиков Cybereason, которые назвали новую кампанию "Операция "Бородатая Барби", APT-C-23 развертывает новые пользовательские бэкдоры для устройств на базе Windows и Android, предназначенные для шпионажа.
Поддельные профили Facebook*
Злоумышленники создавали несколько поддельных профилей Facebook*, используя сфабрикованные личности и украденные или сгенерированные искусственным интеллектом изображения привлекательных женщин, и обращались к целям атаки через эти профили.
Чтобы создать видимость подлинности, операторы курировали эти профили в течение нескольких месяцев, публикуя сообщения на иврите и ставя лайки группам и популярным страницам в Израиле.
Для правдоподобности операторы этих профилей создали целую сеть друзей, которые являются реальными людьми, работающими в полиции, силах обороны, аварийных службах или правительстве Израиля.
Завоевав доверие адресата путем общения с ним в течение некоторого времени, противники предлагали перенести разговор в WhatsApp, якобы для большей конфиденциальности.
В этот момент беседа принимала интимный характер: злоумышленники предлагали перейти на якобы более защищенное приложение для обмена мгновенными сообщениями для Android, которое на самом деле является вредоносной программой VolatileVenom.
Одновременно киберзлодей отправлял ссылку на RAR-файл, который якобы содержит эротическое видео, но на самом деле является загрузчиком бэкдора BarbWire.
Обновленные шпионские программы для Android
Начиная с VolatileVenom, эта вредоносная программа для Android маскируется под приложение для обмена сообщениями, чаще всего Wink Chat.
Cybereason уточняет, что этот бэкдор используется APT-C-23 по крайней мере с апреля 2020 года, но с тех пор он был обновлен и оснащен дополнительными функциями.
Во время первого запуска и процесса регистрации приложение выдает ложную ошибку и заявляет, что автоматически удалится с устройства.
Однако на самом деле оно продолжает работать в фоновом режиме, выполняя следующие функции:
- Кража SMS-сообщений
- Сбор информации из списка контактов
- Использование камеры устройства для съемки фотографий
- Кража файлов со следующими расширениями: pdf, doc, docs, ppt, pptx, xls, xlsx, txt, text
- Кража изображений со следующими расширениями: jpg, jpeg, png
- Запись звука
- Использование фишинга для кражи учетных данных для популярных приложений, таких как Facebook* и Twitter.
- Сброс системных уведомления
- Получение списка установленных приложений
- Управление Wi-Fi
- Запись звонков / звонков WhatsApp
- Чтение журнала вызовов
- Загрузка файлов на зараженное устройство
- Снимки экрана
- Чтение уведомлений следующих приложений: WhatsApp, Facebook*, Telegram, Instagram*, Skype, IMO, Viber
- Удаление всех системных уведомлений
Если устройство жертвы работает под управлением Android 10 или более поздней версии, приложение будет использовать значок Google Play, Chrome или Google Maps. На более ранних версиях Android оно полностью скрывает свой значок приложения.
Вредоносные программы Barb(ie) и BarbWire
После долгой обработки субъекта атаки хакеры в конечном итоге отправляют RAR-файл, который якобы содержит фотографии или видео обнаженной натуры.
Однако этот RAR-файл содержит вредоносную программу-загрузчик Barb(ie), которая приводит к установке бэкдора BarbWire.
Образец Barb(ie), замеченный Cybereason, имеет имя файла "Windows Notifications" и при запуске выполняет некоторые функции, позволяющие ему обойти проверку безопасности устройства.
Далее Barb(ie) подключается к командно-контрольным серверам (C2) и отправляет профиль идентификатора системы, а также устанавливает постоянную связь, создавая две запланированные задачи. Наконец, он загружает и устанавливает на устройство бэкдор BarbWire
BarbWire - это полноценный бэкдор с широкими возможностями, такими как:
- Защита от обнаружения
- Разведка ОС (имя пользователя, архитектура, версия Windows, установленные антивирусные продукты)
- Шифрование данных
- Перехват клавиатуры
- Захват экрана
- Аудиозапись
- Загрузка дополнительных вредоносных программ
- Перечисление локальных/внешних дисков и каталогов
- Кража определенных типов файлов и эксфильтрация данных в формате RAR
Cybereason удалось взять на пробу как минимум три различных варианта BarbWire, что свидетельствует об активной разработке этой программы группой APT-C-23.
Эволюция методов атаки
APT-C-23 использует различные методы, замеченные в прошлых кампаниях против израильских чиновников. Однако рост навыков хакерской группировки на лицо. Злоумышленники продолжают развиваться, используя новые инструменты и более сложные методы социальной инженерии.
Одним из отличий операции "Бородатая Барби" от предыдущих кампаний является отсутствие дублирующей инфраструктуры, что свидетельствует о заинтересованности группы в том, чтобы избежать обнаружения.
Использование двух бэкдоров, одного для Windows и одного для Android, является еще одним показателем эскалацией угрозы, что приводит к очень агрессивному шпионажу за скомпрометированными целями.
--------
Facebook* - принадлежит Meta*, признанной в РФ экстремистской, деятельность организации запрещена территории РФ.