09.03.2015 | 00:11

Adam Haertle

Ciekawa próba ataku na polską instytucję rządową – analiza

Polska firma Prevenity, chroniąca niektóre organizacje rządowe, opublikowała dzisiaj garść szczegółów dotyczących niedawno zidentyfikowanego ataku na użytkowników jednej z instytucji. Przyglądamy się bliżej tej sprawie.

Niektórzy badacze złośliwego oprogramowania z różnych powodów (wewnętrzne regulacje, umowy z klientami, osobna oferta komercyjna itp.) w swoich publicznych raportach zamieszczają jedynie ograniczone informacje. Na szczęście często na podstawie minimalnego zestawu danych można dowiedzieć się dużo więcej.

Nowy, ciekawy atak

Firma Prevenity na swoim blogu opisuje ciekawy przykład złośliwego oprogramowania, którym próbowano zainfekować polską instytucję rządową. Najpierw na serwerze EuropeanIssuers.eu, organizacji powiązanej z Unią Europejską, umieszczono złośliwy plik, a następnie link do niego rozesłano do wybranych odbiorców, fałszując informację o prawdziwym nadawcy. Wiadomości udawały wysłane z domeny Parlamentu Europejskiego @europarl.europa.eu i zawierały link do pliku Invitation1541.pdf. Próba jego pobrania owocowała wczytaniem pliku 1541.zip. To archiwum zawierało z kolei plik wykonywalny – samorozpakowujące się archiwum RAR SFX. Efektem uruchomienia pliku było wypakowanie kolejnych dwóch plików: 1541.pdf oraz reader_sl.exe. Pliki podpisane są nieważnym certyfikatem Advanced Micro Devices Inc.

Nasza analiza publicznie dostępnych informacji na temat tego ataku pozwoliła zlokalizować załączony plik PDF. Wygląda on na stronę testową faksu – a przynajmniej na taki został ucharakteryzowany.

Plik udający zaproszenie

Plik udający zaproszenie

W trakcie, gdy wyświetlany jest plik PDF, plik EXE instaluje kolejne komponenty:

  • amd_opencl32.dll
  • amdhwdecoder_32.dll
  • atiglpxx.dll
  • amdocl_as32.exe
  • aacss.dat

Główny moduł w dość trywialny sposób dopisuje się do klucza Run rejestru Windows, by zapewnić sobie automatyczne uruchamianie przy każdym restarcie systemu. Łączy się również z serwerem C&C, by zgłosić udaną infekcję i pobrać dalsze instrukcje. Komunikacja jest szyfrowana. Z serwera C&C pobierane są także dodatkowe moduły, np. umożliwiający wykonywanie i przesyłanie do C&C zrzutów ekranu.

Informacje ze źródeł publicznych

Prevenity nie udostępnia w swoim wpisie próbek oprogramowania ani innych jego danych, jedynie skróty MD5 poszczególnych komponentów i nazwy plików. Na tej podstawie możemy jednak znaleźć inne serwisy, które analizowały już te same lub podobne próbki. Poniżej kilka linków wraz z ciekawymi informacjami dodatkowymi:

Z powyższych linków można także w niektórych przypadkach pobrać próbki oprogramowania do samodzielnej analizy. Wszystko wskazuje na to, że opisywany przez Prevenity incydent jest częścią większej kampanii. Inne ataki wykorzystują podobny schemat nazewnictwa plików, model ataku (pliki RAR SFX i PDF) jak i serwery C&C. Pobrane przez nas próbki wrzuciliśmy do serwisu VirusTotal i zauważyliśmy, że wszystkie pochodzące z ostatnich 2 tygodni zostały rozpoznane przez Kaspersky’ego jako Trojan.Win32.CozyBear.gen lub Trojan.Win32.Cozybear.i. Niestety Kaspersky jeszcze nie opublikował raportu dotyczącego tego zagrożenia. Ciekawa jest zbieżność nazw: Symantec – Cozer, Kaspersky – CozyBear.

Jak więc widzicie każdy posiadacz dostępu do Google może pobawić się w biedniejszego kuzyna Mandianta czy Symanteca. Zachęcamy wszystkich do próby samodzielnego znalezienia kolejnych przypadków infekcji opisanych w sieci. Ciekawe kiedy dowiemy się, jak nazywa się ta grupa APT i że znowu atakują nas Rosjanie.

Powrót

Komentarz

  • 2015.03.09 17:01 h3li4r

    Szczegółów? Please…

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ciekawa próba ataku na polską instytucję rządową – analiza

Komentarze