Обзор

С 15 ноября 2018 года компания Proofpoint начала наблюдать за рассылками электронных писем от определенного агента, направленных на крупные розничные сети, сети ресторанов и продуктовых магазинов, а также другие организации, работающие в сфере производства продуктов питания и напитков. Эти почтовые сообщения пытались доставлять различные виды вредоносных программ, включая Remote Manipulator System (RMS), FlawedAmmyy и другие.

В одной из таких рассылок мы также наблюдали персонализацию вложений. Эти вложения содержали логотип компании-мишени в теле, чтобы сделать сообщения более правдоподобными.

Мы приписали эти действия TA505, организатору крупнейших акций Dridex и Locky по распространению вымогательского ПО за последние два года, а в последнее время - троянских программ удаленного доступа (RAT) и программ-загрузчиков. Изменение тактики - использование персонализированных вложений в довольно больших по размеру атаках в сочетании с нацеленностью на розничную торговлю - произошло как раз в преддверии сезона праздничных покупок.

Детали кампании

3 декабря 2018 года мы наблюдали атаку TA505, направленную почти исключительно на розничную торговлю, продукты питания и рестораны. В ее рамках были распространены десятки тысяч сообщений. 

Что еще более интересно, каждая предполагаемая мишень получила персонализированное вложение - метод, который TA505 ранее не использовала. Электронное письмо (Рисунок 1) якобы было отправлено с принтера Ricoh и содержало отсканированный документ. Сканированный документ на самом деле представлял собой вредоносное вложение Microsoft Word (Рисунок 2). Вложенный документ был адресован исключительно выбранной компании и даже содержал ее логотип в оформлении документа (размыт на рисунке с черным прямоугольником).

Документ содержал макросы, которые, если их активировать, загружали и выполняли файл MSI. Его исполнение приводило к инсталляции Remote Manipulator System (RMS) с файлом настроек, содержащим пользовательский адрес управления (C&C).

Ловушка, показанная на рисунке 2, является продолжением социальной инженерии, представленной в электронном письме, предлагая получателям включить макросы, чтобы они могли просмотреть содержимое поддельного отсканированного документа.

Заключение

TA505 годами определяла общую картину угроз, в основном благодаря огромным масштабам, связанных с их акциями до конца 2017 года. Если эта группа меняет тактику, то это, как правило, совпадает с более широкими изменениями, и в течение года мы видели, как TA505 и ряд других игроков сосредоточились на загрузчиках, RAT (Remote Access Trojan), похитителях информации и банковских троянах, часто в небольших, узконаправленных атаках. Злоумышленники следуют за деньгами, и, с падением стоимости криптовалюты, отдача от инвестиций в более точный таргетинг, улучшенную социальную инженерию и управление устойчивыми вирусами теперь кажется выше, чем у крупных вымогательских акций по принципу "разбей и захвати".

Учитывая продолжающийся сезон праздничных покупок, явную нацеленность этих кампаний на розничную торговлю и продукты питания в США, а также характер распространяемого ими вредоносного ПО - RATs и бэкдоры - TA505, похоже, готов воспользоваться преимуществами повышенной активности в этом секторе до конца года.

Индикаторы компрометации (IOCs)

Подписи ET и ETPRO Suricata/Snort

2812668      ETPRO POLICY  Удаленная деятельность средств доступа к утилитам

Материал подготовлен в рамках курса «Reverse-Engineering». Всех желающих приглашаем на двухдневный онлайн-интенсив «Типовые алгоритмы работы файловых инфекторов». На занятии разберём структуры PE формата, пройдёмся в них в HEX редакторе, добьёмся необходимых изменений для внедрения кода.
>> РЕГИСТРАЦИЯ