Сети под прицелом: хакеры дважды атаковали телеком Кыргызстана и вышли на Таджикистан

Злоумышленники использовали имейл-рассылки, чтобы достичь своих целей. Письма, которые они отправляли, выглядели как легитимные и содержали вредоносные вложения или ссылки на них; вредоносное ПО пряталось под лицами компонентов Microsoft Windows.

При этом имейлы, которые были разосланы в сентябре операторам связи Кыргызстана, были написаны от имени потенциальных клиентов, интересующихся тарифами мобильной связи.

Когда получатели открывали вложение, на экране появлялась картинка с просьбой активировать макрос. После активации, жертве демонстрировался тарифный план (который, к слову, был скопирован у другого провайдера), и происходила установка целевого зловреда.

По результатам анализа, бэкдор, загружаемый скриптом (названный LuciDoor), написан на C++ и может подключаться к C2 как напрямую, так и через системные прокси и другие серверы в инфраструктуре жертвы. Его функции включают сбор информации о зараженном устройстве, загрузку программ и эксфильтрацию данных.

Повторные атаки на телекоммуникации Кыргызстана были зафиксированы в ноябре. Злоумышленники изменили документ-приманку, но допустили ту же ошибку — в документе было указано имя, не совпадающее с адресатом. Новый Windows-бэкдор, использованный в этой атаке, называется MarsSnake и ранее уже использовался в шпионских атаках в Саудовской Аравии.

Бэкдор MarsSnake отличается простотой настройки: изменения осуществляются через обновление параметров в загрузчике, что исключает необходимость пересборки исполняемого файла. После активации зловред собирает системные данные и создает уникальный идентификатор для передачи на C2.

«Интересно, что в атаках, произошедших в прошлом году, вредоносные документы были на русском языке, но в настройках использовались арабский, английский и китайский, — отметил эксперт PT ESC TI Александр Бадаев. — Мы также обнаружили в файлах поле, что свидетельствует об использовании китайского языка. Это может указывать на то, что злоумышленники использовали пакет Microsoft Office с соответствующими настройками или шаблон документа на китайском языке».

Во время атак в январе на территории Таджикистана вместо вредоносных вложений использовались ссылки. Изображение с призывом активировать макрос было изменено, а текст был на английском языке. Целевым зловредом снова выступал LuciDoor, но в другой конфигурации.