За новой вредоносной кампанией предположительно стоит
вьетнамская кибершпионская группировка APT32.
Неизвестная хакерская группировка внедряет вредоносный
код в легитимную Службу регистрации ошибок Windows (Windows Error Reporting,
WER) для обхода обнаружения в рамках бесфайловых кибератак.
Использование WER в вредоносных операциях не является
чем-то новым, однако, как отметили специалисты Malwarebytes Хуссейн Джази
(Hossein Jazi) и Жером Сегура (Jérôme Segura), данная кампания – дело рук
неизвестной кибершпионской группировки. По словам экспертов, для хостинга полезной нагрузки
злоумышленники скомпрометировали некий сайт и с помощью фреймворка CactusTorch
осуществили бесфайловую кибератаку на неназванную жертву.
Атака была обнаружена 17 сентября нынешнего года,
когда исследователи выявили фишинговые письма с вредоносным документом в
ZIP-архиве, замаскированные под требование компенсации работнику. После
открытия документа выполнялся shell-код с помощью вредоносного макроса
CactusTorch VBA, загружающего полезную нагрузку .NET непосредственно в память
атакуемого Windows-устройства.
Далее вредоносное ПО выполнялось из памяти компьютера,
не оставляя никаких следов на жестком диске, и внедряло shell-код в
WerFault.exe – процесс службы WER. Затем новый поток WER, в который был внедрен
вредоносный код, проходил несколько антианалитических проверок, чтобы узнать,
отлаживается ли он, работает ли на виртуальной машине или в песочнице. Другими
словами, вредонос убеждался, что его не изучают ИБ-эксперты.
Если все проверки были успешно пройдены, вредоносное
ПО переходило к следующему шагу – расшифровало и загружало в новом потоке WER
финальный shell-код, который затем выполнялся в новом потоке. Далее зашружалась
и вводилась в новый процесс финальная полезная нагрузка, хранящаяся на сайте
asia-kotoba [.] в виде поддельного фавикона.
Хотя исследователи затрудняются с уверенностью
сказать, кто стоит за новыми атаками, индикаторы компрометации указывают на
вьетнамскую кибершпионскую группировку APT32 (другие названия OceanLotus и
SeaLotus).