Предупреждаем пользователей, скачивавших 13-14 июня с официального сайта программу для удаленного доступа Ammyy Admin. Сайт был скомпрометирован, в этом временном интервале с него раздавалась троянизированная версия программы. Еще один нюанс: атакующие использовали для маскировки вредоносной сетевой активности бренд Чемпионата мира по футболу.

В октябре 2015 года сайт, предлагающий бесплатную версию Ammyy Admin, уже использовался для распространения вредоносного ПО. Прошлую атаку мы связываем с известной кибергруппой Buhtrap. Сейчас история повторяется. Мы зафиксировали проблему вскоре после полуночи 13 июня, раздача малвари продолжалась до утра 14 июня.


Удаленное администрирование и бот Kasidet в комплекте


Пользователи, скачавшие Ammyy Admin 13-14 июня, получили комплект из легитимного софта и многоцелевого трояна, который детектируется продуктами ESET как Win32/Kasidet. Рекомендуем потенциальным жертвам просканировать устройства с помощью антивирусного продукта.

Win32/Kasidet – бот, который продается в даркнете и активно используется различными кибергруппами. Сборка, обнаруженная на сайте ammyy.com 13 и 14 июня 2018 года, имела две функции:

1. Кража файлов, которые могут содержать пароли и другие данные авторизации для криптовалютных кошельков и аккаунтов жертвы. С этой целью малварь ищет следующие имена файлов и отправляет их на C&C-сервер:
— bitcoin
— pass.txt
— passwords.txt
— wallet.dat

2. Поиск процессов по заданным именам:
— armoryqt
— bitcoin
— exodus
— electrum
— jaxx
— keepass
— kitty
— mstsc
— multibit
— putty
— radmin
— vsphere
— winscp
— xshell

URL-адрес C&C-сервера (hxxp: // fifa2018start [.] Info / panel / tasks.php) также представляет интерес. Похоже, что атакующие решили использовать бренд Чемпионата мира по футболу для маскировки вредоносной сетевой активности.

Мы обнаружили сходство с атакой 2015 года. Тогда злоумышленники использовали ammyy.com, чтобы раздавать несколько семейств вредоносных программ, меняя их почти каждый день. В 2018 году распространялся только Win32/Kasidet, однако обфускация полезной нагрузки менялась в трех случаях, вероятно, чтобы избежать обнаружения антивирусными продуктами.

Еще одно сходство между инцидентами – идентичное имя файла, содержащего полезную нагрузку – Ammyy_Service.exe. Загруженный установщик AA_v3.exe может выглядеть легитимным на первый взгляд, однако атакующие использовали SmartInstaller и создали новый бинарный файл, который сбрасывает Ammyy_Service.exe до установки Ammyy Admin.

Выводы


Поскольку это не первый случай компрометации сайта ammyy.com, рекомендуем установить надежное антивирусное решение до загрузки Ammyy Admin. Мы сообщили разработчикам Ammyy Admin о проблеме.

Ammyy Admin – легитимный инструмент, однако им нередко пользовались злоумышленники. В результате некоторые антивирусные продукты, включая ESET, детектируют его как потенциально нежелательное приложение. Однако этот софт по-прежнему широко используется, в частности, в России.

Индикаторы компрометации


Детектирование продуктами ESET
Win32/Kasidet

Хеши SHA-1

Установщик

6D11EA2D7DC9304E8E28E418B1DACFF7809BDC27
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93


Win32/Kasidet

EFE562F61BE0B5D497F3AA9CF27C03EA212A53C9
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10C903E


C&C-сервер

fifa2018start[.]info

Комментарии (18)


  1. scronheim
    12.07.2018 07:22
    -1

    Зачем вообще пользоваться этим мусором? Есть куда более удобные и лучшие аналоги


    1. XopHeT
      12.07.2018 09:09
      +1

      Например?
      Чем Вы пользуетесь?
      По работе приходится много подключаться к клиентским ПК, и TeamViewer отключает бесплатные сеансы.
      Использую в качестве альтернативы Ammyy Admin.


      1. mspain
        12.07.2018 11:28

        Что безопасники разрешат, то и использовать. А если они вменяемые и ничего левого не разрешат, то пользоваться встроенным в винду клиентом или качать ножки.


        1. tartarelin
          12.07.2018 12:09
          +1

          У меня нет безопасников.
          Встроенный в винду клиент не позволяет пользователю показать, что надо делать, не позволяет пользователю показать, что он делает.
          Я бы с удовольствием покачал ножки прогулявшись до нашего филиала в Симферополь, но меня не отпускают )-:


          1. mspain
            12.07.2018 13:36

            >Встроенный в винду клиент не позволяет пользователю показать, что надо делать, не позволяет пользователю показать, что он делает

            У меня для тебя плохие новости… начиная с как минимум ХР умеет. Вполне ынтырпрайзный вариант, в отличие от радминов которые политиками нельзя гарантированно настроить и уж тем более троянов от Ammyy или TeamViewer


            1. tartarelin
              12.07.2018 13:58

              Это были бы хорошие новости, но к сожалению время от времени этот вариант ломается после обновлений и не очень оперативно чинится, например вот в windows 10 1709 поломался, говорят в 1803 починился, сам я ещё не проверял


              1. mspain
                13.07.2018 05:17

                Вы и обновления раскатываете без тестирования? Надо вам безопасников уже заводить. И админов.


      1. a1ien_n3t
        12.07.2018 13:31

        any desk? Когда зайдя на сайти Ammyy Admin мне предлагают сменить браузер для закачки софта. я подумал что это отличный совет даже не рассматривать этот мусор. Как видно правильно сделал.


        1. XopHeT
          12.07.2018 13:39

          Спасибо, посмотрю


      1. Maxlinus
        12.07.2018 14:01

        toster.ru/q/542885
        я использую связку:
        для Windowsб -Brynhildr + kitty + SSH + autoit github.com/maxlinus/BrynhildrHelpdesk
        для linux, MAC — x11vnc+repeater
        unixforum.org/viewtopic.php?t=138440#p1293990


        1. XopHeT
          12.07.2018 17:30

          Спасибо!


      1. vaizmanai
        12.07.2018 14:09

        Я для своих нужд клепал что-то более-менее рабочее и выложил в публичный доступ: habr.com/post/350734


        1. Maxlinus
          12.07.2018 15:08
          +1

          кстати очень даже хорошо у вас получилось:) давно слежу за проектом


          1. vaizmanai
            12.07.2018 15:13

            Спасибо, судя по нику я Вас тоже знаю)


      1. 360apm
        12.07.2018 17:36

        Та в смысле? msra, шарринг экрана cisco, numara (bmc сейчас) — это в локалке.
        Вне — купите TV. Вы же по работе подключаетесь, значит все запланировано и обосновано. Что за дичь?


        1. Carburn
          12.07.2018 18:18

          Денег жалко.


    1. Dvlbug
      12.07.2018 14:16

      У нас приказом сверху запрещено использовать Тимвивер, Скайп на работе. Amyy Admin пользоваться разрешили.


  1. Carburn
    12.07.2018 17:46

    Как сайт взламали? Не легче просто статический сайт просто сделать было.