Вредоносные программы с легитимными цифровыми подписями: новая волна угроз в Японии
Авторы вредоносных программ становятся все изощрённее — они все чаще используют законные цифровые подписи, чтобы обходить системы обнаружения и повышать доверие пользователей. Недавний анализ выявил образец бэкдора под названием «.exe» (Уведомление о системе оплаты труда Revision.exe), который распространялся через фишинговые сайты, ориентированные на японскую аудиторию.
Особенности вредоносной программы
Указанный бэкдор подписан украденным сертификатом от компании «Sid Narayanan Ltd» и является частью масштабной кампании с использованием различных цифровых сертификатов. Технический разбор с помощью PE Studio выявил несколько подозрительных импортов, характерных для вредоносного ПО:
- ShellExecute;
- WriteFile;
- LoadLibrary.
Пример «.exe» содержит путь к базе данных встроенной программы (PDB), что указывает на его функциональность как бэкдора.
Механизмы работы и функциональность бэкдора
Анализ показал, что программа выполняет следующие действия:
- Инициализирует Security Identifier (SID) с предопределёнными значениями;
- Проверяет, запущен ли процесс с правами администратора, что свидетельствует о необходимости повышения привилегий;
- Извлекает локальный каталог данных приложения и создаёт в нём подкаталог с именем «a»;
- Создаёт ZIP-файл ‘a.zip’, в котором полезная нагрузка перед записью на диск обфусцируется с помощью многобайтового преобразования на основе фиксированного ключа в памяти;
- Запускает другой исполняемый файл — «Run.exe» из указанного каталога с определёнными параметрами, обеспечивая его чистое выполнение;
- Использует функции CreateProcessW и ShellExecuteExA для обхода контроля учётных записей пользователей (UAC) и повышения привилегий при необходимости;
- Поддерживает постоянную связь с командно-контрольным сервером (C2), отправляя импульсные пакеты каждые несколько минут для подтверждения подключения.
Связь с более широкой кампанией и киберугрозами из Китая
Дальнейшее расследование установило, что IP-адрес сервера C2 связан с вредоносным ПО Winos 4.0, ориентированным преимущественно на пользователей Тайваня. При этом имеются данные, указывающие на целенаправленные атаки и в Японии.
Платформа Winos 4.0 известна своей причастностью к шпионской деятельности на китайском языке и связывается с китайской хакерской группой «Silver Fox». Охранные компании подтвердили эту связь, подчеркнув характерные особенности вредоносного ПО и его оперативные коммуникации, указывающие на участие китайских киберпреступников.
Примечательно, что наряду с китайским аналогом был обнаружен инструмент удалённого доступа с пересекающимися идентификаторами, что подчёркивает широкий спектр угроз, создаваемых данной кампанией.
Выводы
Использование украденных цифровых сертификатов для подписи вредоносного ПО значительно усложняет задачу обнаружения угроз и требует от специалистов по кибербезопасности постоянного совершенствования методов анализа. Кампания с участием бэкдора «.exe» демонстрирует тесную связь региональных атак на Японию и Тайвань с глобальными киберугрозами, исходящими из Китая.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ бэкдора .exe с цифровыми подписями и связью с Silver Fox".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.