Исследователи Fortinet выявили новую фишинговую кампанию с использованием вредоносного ПО XWorm. Атака эксплуатирует старую уязвимость Office и бесфайловое выполнение для уклонения от обнаружения, развертывая модульный троян удаленного доступа. — csoonline.com
Исследователи Fortinet сообщили о новой фишинговой кампании, распространяющей коммерческое вредоносное ПО XWorm. Кампания использует уязвимость Microsoft Office, которой уже несколько лет, в сочетании с выполнением без использования файлов для уклонения от обнаружения.
Кампания, использующая фишинговые письма на разные темы и вредоносное надстроечное приложение Excel, в конечном итоге развертывает модульный троян удаленного доступа (RAT), способный к зашифрованному управлению и контролю (C2) и расширению на основе плагинов.
«Эта кампания поражает своей обыденностью, — сказал Шейн Барни, директор по информационной безопасности Keeper Security. — Здесь нет прорывных техник. Это чистая цепочка выполнения, построенная из компонентов, которые мы все видели раньше. Сложность заключается не в новизне, а в сборке».
Злоумышленники использовали фишинговое письмо с вредоносным надстроечным приложением Excel, которое эксплуатирует CVE-2018-0802 — ошибку повреждения памяти в Office, исправленную в 2018 году. Затем атака продолжается с помощью HTA и PowerShell для загрузки дополнительных компонентов.
Злоумышленники использовали знакомый вектор атаки
Согласно сообщению в блоге Fortinet post, кампания опирается на фишинговые приманки на деловую тематику и устаревшую уязвимость удаленного выполнения кода в Microsoft Equation Editor, о которой защитники знают годами. Fortinet отметил, что продолжающийся успех CVE-2018-0802 предполагает, что пробелы в установке исправлений остаются жизнеспособной поверхностью атаки.
Джейсон Сороко, старший научный сотрудник Sectigo, заявил, что именно сочетание обычного фишинга с современными методами бэкэнда делает кампанию заметной.
«Что здесь выделяется, так это то, насколько «старым» и «обычным» является фронтенд, и насколько современным остается бэкэнд, — сказал он. — Приманка — это знакомый деловой предлог и вредоносное надстроечное приложение Excel, но настоящий сигнал — это уверенность злоумышленника в том, что устаревшие пути эксплуатации Office по-прежнему эффективны в большом масштабе. Вложение использует CVE-2018-0802, а затем быстро переключается на HTA и PowerShell, чтобы не выполнять тяжелую работу на диске».
Исследователи Fortinet добавили, что привилегии удаленного выполнения кода, полученные через CVE-2018-0802, позволяют выполнять компоненты HTA и PowerShell, оставляя большую часть активности не на диске. «Эта комбинация напоминает о том, что гигиена исправлений и политика выполнения макросов или скриптов по-прежнему делают больше реальной работы, чем большинство организаций хотят признать», — добавил Сороко.
Бесфайловая .NET-стадия и модульное ядро XWorm
Помимо первоначального доступа, Fortinet обнаружил бесфайловую .NET-стадию, загруженную непосредственно в память, за которой последовало «вытравливание» процесса в msbuild.exe — легитимный инструмент сборки Microsoft, способный выполнять .NET-код. Выбор msbuild.exe соответствует требованиям вредоносного ПО к среде выполнения, помогая ему сливаться с обычной системной активностью.
«Бесфайловая .NET-стадия, загруженная в память, с последующим «вытравливанием» процесса в msbuild.exe — это чистый ход для «слияния», который использует легитимный бинарный файл с поддержкой .NET и усложняет атрибуцию для простых средств обнаружения, — сказал Сороко. — Обоснование Fortinet для msbuild.exe особенно полезно для защитников, поскольку оно связывает выбор LOLBin с потребностями вредоносного ПО в среде выполнения .NET, а не просто с общим маскированием».
После активации XWorm обменивается данными со своим C2 с использованием зашифрованного AES пакета, который поддерживает широкую экосистему плагинов. Эта модульность, отметили исследователи, расширяет его возможности за пределы удаленного доступа, позволяя красть учетные данные, извлекать данные, вызывать сбои и модернизировать пути в зависимости от желаний оператора.
Fortinet сообщил, что XWorm поддерживает широкий спектр команд оператора, включая управление системой (CLOSE, uninstall, update), загрузку и выполнение файлов (DW, LN), загрузку плагинов, захват снимков экрана ($Cap), извлечение данных кейлоггера, управление DDoS-атаками, а также функции завершения работы или перезагрузки. В сообщении также перечислены индикаторы компрометации, связанные с кампанией, включая фишинговые URL-адреса и домены, используемые для размещения HTA и загрузочных файлов, C2-сервер, хэши файлов вредоносного надстроечного приложения Excel и конечную полезную нагрузку XWorm.
Барни подчеркнул, что более широкий риск зависит не столько от метки вредоносного ПО, сколько от средств контроля после компрометации. «Подобные кампании раскрывают простую реальность: вектор входа предсказуем. Инструментарий стандартизирован. Единственная реальная переменная — это то, сможет ли среда ограничить дальнейшие действия злоумышленника», — сказал он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma