Сегодня в подборке новостей Jet CSIRT — кража исходного кода проектов Microsoft, новое ВПО GIMMICK и новый бэкдор Serpent. Новости собирала Мария Волгина, младший аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Группировка Lapsus$ заявила о краже исходного кода проектов Microsoft

Известная хакерская группировка Lapsus$ заявила, что после успешной кибератаки на системы Microsoft ей удалось украсть исходный код Bing, Cortana и множества других проектов Microsoft. Хакеры утверждают, что им удалось скомпрометировать сервер Microsoft Azure. 22 марта группировка выложила в Telegram-канал торрент-файл, который ведет на скачивание 9-гигабайтного 7zip-архива, который после распаковки включает в себя примерно 37 Гб исходного кода проектов Microsoft. Некоторые ИБ-специалисты, изучившие архив, сообщили, что с высокой долей вероятности он действительно содержит проекты корпорации. Помимо этого, было отмечено, что в архиве имеются электронные письма и конфиденциальные документы, которые использовались сотрудниками Microsoft при работе с различными мобильными приложениями. Представитель компании отметил, что в корпорации знают о ситуации и уже начали внутреннее расследование.

Выявлено вредоносное ПО для macOS под названием GIMMICK

Исследователи обнаружили ранее неизвестный вариант ВПО для macOS под названием GIMMICK, которое, предположительно, является кастомным инструментом, используемым китайской шпионской группировкой Storm Cloud. GIMMICK — многоплатформенное вредоносное ПО, написанное на Objective C, Delphi или .NET. Все варианты используют одну и ту же С2-архитектуру, пути к файлам и модели поведения, поэтому они отслеживаются как один инструмент, несмотря на различия в коде. ВПО обычно запускается в системе или самим пользователем, или демоном. После этого оно устанавливает себя как двоичный файл с именем PLIST, обычно имитирующий активно используемое приложение на целевой машине. Вредонос был обнаружен исследователями компании Volexity, которые извлекли его из оперативной памяти MacBook Pro под управлением macOS 11.6 (Big Sur), который был скомпрометирован в результате кампании кибершпионажа в конце 2021 года. По словам специалистов, группировка действует очень осторожно, оставляя минимальный след и удаляя остатки вредоносных программ, чтобы сохранить свои инструменты в секрете и избежать обнаружения на основе IoC.

Новый бэкдор, использующий уникальную цепочку атак, нацелен на французские организации

Компания Proofpoint обнаружила новую целенаправленную активность, затрагивающую французские предприятия в строительном и государственном секторах. Бэкдор, получивший название Serpent, использует документы Microsoft Word с поддержкой макросов. Запуск макроса инициирует обращение к URL-адресу изображения, содержащего PowerShell-скрипт в кодировке base64. Скрипт загружает, устанавливает и обновляет пакет установщика Chocolatey, после чего устанавливает Python, включая установщик пакета pip, который затем используется для установки различных зависимостей, например, обратного прокси-клиента PySocks, позволяющего отправлять трафик через прокси-серверы SOCKS и HTTP. Затем скрипт извлекает другой файл изображения, который содержит Python-скрипт в кодировке base64, и сохраняет его как MicrosoftSecurityUpdate.py, после чего создает и запускает .bat-файл, который, в свою очередь, выполняет сценарий Python. Цепочка атак заканчивается перенаправлением на веб-сайт справки Microsoft Office. В результате бэкдор позволяет обеспечить удаленное администрирование, управление и контроль (C2), кражу данных или доставку других дополнительных полезных нагрузок на скомпрометированный узел.