В T&T Security «разобрали» кибератаку на казахстанские банки

По словам директора T&T Security, эксперта и доктора PhD Арнура Тохтабаева, эта атака имеет несколько интересных особенностей.

Письмо было отправлено под видом легитимного ящика, путем подмены (спуфинга) исходящего email-адреса. В рамках деловой переписки злоумышленники отправили письмо с вредоносным кодом», — пояснил Арнур Тохтабаев, добавляя, что атака использует две техники: Spear-phishing и рассылка вредоносных писем с якобы доверенного источника.

Батыржан Тютеев, эксперт в области кибербезопасности и этического хакинга, технический директор компании Nitro Team, замечает, что данный вид угроз набирает популярность во всем мире, атаки с псевдодоверенного источника позволяют хакерам повысить шансы. По казахстанскому банковскому сектору уже некоторое время работают известные хакерские группировки такие, как Cobalt, которые имеют в своем арсенале набор инструментов для реализации серьезных атак.

«Используются и атаки вредоносного ПО нулевого дня, так как современные антивирусные решения давно устарели и в большинстве своем используют архаичный сигнатурный поиск вредоносного кода», — добавляет Батыржан Тютеев.

Нурбек Рахимов, региональный менеджер Trend Micro в Центральной Азии, отмечает, что подобные вызовы требуют комплексного подхода к киберзащите организаций. В свою очередь, в прошлом году было начато технологическое сотрудничество между мировым лидером Trend Micro и казахстанской антивирусной компанией T&T Security. Цель технологического сотрудничества — глубокая интеграция решений обеих компаний и вывод на рынок комплексного решения по кибербезопасности.

«В результате tLab от T&T Security в интеграции с решениями Trend Micro, как совместное комплексное решение, уже используется в госпрограмме „Киберщит“. Этот подход применим также в коммерческом и банковском секторе Казахстана», — отметил региональный менеджер Trend Micro Нурбек Рахимов.

T&T Security в свое время стала широко известна тем, что одной из первых в СНГ «разобрала» печально известный WannaCry. Ущерб от WannaCry оценивается в десятки миллиардов долларов. Недавно T&T Security, используя систему tLab, обнаружила и исследовала кибератаку, направленную на электронное правительство. Это было вредоносное ПО, которое распространялось методом «атаки на водопое» (watering hole attack) через портал eGov. Совместно с холдингом «Зерде» T&T Security отреагировали и устранили вредоносный контент. После отработки по инциденту холдинг «Зерде» сообщил, что tLab является передовым продуктом по защите от киберугроз нового типа, против которых типичный антивирус малоэффективен.

Хронология атаки Spear-phishing

24-25 марта 2021 года с электронной почты K.T********[@]jysanbank.kz было разослано три письма с вредоносным вложением на адреса, расположенные в доменах atfbank.kz и halykbank.kz. Все три письма содержали заголовок «Request for Quotation from JSC _First Heartland Jýsan Bank». Ну, а вредоносным вложением был документ в формате RTF с именами «Tender Document.doc» и «Запрос коммерческого предложения.doc». Этот документ содержал вредоносный Excel лист с VBA макросом.

В системе tLab можно увидеть, что образец содержит 11 OLE-объектов. Если более детально, то в файле имеется функция Workbook_Open, что означает запуск вредоносного кода при открытии документа. Код макроса предназначен для сокрытия запуска команды, основной целью которой является запуск удаленного скрипта с правами обычного пользователя. Так как скрипт скачивается и запускается легитимными программами, подписанными Microsoft, такой способ позволяет избежать пристального внимания со стороны антивирусов. Эта техника называется Squiblydoo и описана в MITRE Cyber Analytics Repository. Сам вредоносный скрипт является jscript файлом. В скрипте можно увидеть длинную строку, которая начинается с байтов «4d5a», что является сигнатурой PE файла. Скрипт раскодирует вредоносную нагрузку в виде файла с расширением EXE.

Алгоритм работы скрипта

Создание ActiveX объекта WScript.Shell, который позволяет выполнять команды:

— получение пути к временной папке пользователя с помощью переменной окружения %temp%;
— создание имени будущего файла путем конкатенации пути к временной папке и заранее известной строки;
— декодирование PE файла;
— создание ActiveX объекта ADODB.Stream;
— запись декодированных данных в файл с помощью ADODB.Stream;
— запуск файла.

В декодированном EXE (вредоносная нагрузка) файле обнаруживаются строки, связанные с установщиком NSIS. Nullsoft Scriptable Install System (NSIS) — система создания установочных программ для Microsoft Windows с открытым исходным кодом, разработанная компанией Nullsoft. Для установки программ NSIS использует специальный скрипт, в котором содержится алгоритм установки. Если распаковать вредоносную нагрузку программой 7zip, то мы получим скрипт установки и папку с плагинами. При этом папка с плагинами содержит DLL файл с именем 9e98xvt.dll. Скрипт установки также содержит код для вызова функции Bgcedtxsf в 9e98xvt.dll. В свою очередь, функция Bgcedtxsf раскодирует вредоносную нагрузку путем функции XOR с заранее известными значениями.

Получившийся в результате PE файл является стилером Lokibot. Lokibot — это шпионское ПО, которое ворует данные браузера, криптовалютных кошельков, FTP и другого софта пользователя. Он характерен использованием параметра «-u», который при наличии выполняет функцию sleep на 10 секунд. Это необходимо для выполнения обновления. Lokibot создает скрытую папку в APPDATA с именем длиной 5 символов и копирует туда себя. В реестре Lokibot создает папку с адресом C&C сервера и путем до своей копии.

Вывод

Как замечает Арнур Тохтабаев, такой вид атак означает только одно: хакеры стали применять более изощренные методы, которые используют псевдодоверенные каналы для создания соответствующей коммуникации — через них и происходит заражение. В этой связи нужно использовать принцип нулевого доверия, который сейчас получил развитие в свете появления угроз, имеющих псевдодоверительную природу.

Система tLab успешно обнаруживает и блокирует подобные угрозы, функционируя по принципу нулевого доверия и опираясь на глубокий поведенческий анализ. А высокая пропускная способность позволяет анализировать десятки тысяч файлов в день без фильтров и белых списков, что блокирует даже угрозы, использующие псевдодоверенный канал.

Компания T&T Security была основана в 2013 году, ее основателем является Арнур Тохтабаев (Ph.D.). В течение последних 10 лет он проводил исследования в области кибербезопасности в США. Целью создания компании является борьба с киберугрозами нового поколения, которые не предотвращаются традиционными антивирусными технологиями. По словам основателя, ДНК компании — инновационный подход к системам защиты. Первые продукты компании основаны на новейших технологиях, разработанных основателем в процессе его профессорско-исследовательской деятельности в США.