Шпионский троян использует для работы серверы "Яндекс" и Twitter

Шпионский троян использует для работы серверы "Яндекс" и Twitter

Документы с вложением

Эксперты компании Talos заявили, что облачные сервисы "Яндекса" и Twitter используются для хостинга вредоносных командных серверов и передачи данных недавно обнаруженной вредоносной программой Rokrat, используемой в шпионских целях.

Как поясняется в публикации Talos, Rokrat представляет собой вредоносный инструмент удаленного администрирования (Remote Administration Tool - RAT), который используется в новой кампании, направленной против пользователей из Южной Кореи.

Атака на пользователей начинается с рассылки фишинговых писем с вложенными документами в формате HWP. Это формат крайне популярного в Южной Корее текстового редактора Hangul, поддерживающего корейский алфавит.

HWP-документ содержал встроенный объект EPS (Encapsulated PostScript) с эксплойтом для известной уязвимости CVE-2013-0808, которая, в свою очередь, используется для загрузки двоичного файла, имитирующего изображение в формате jpg. Этот исполняемый файл и является RAT-инструментом.

Windows XP и системы виртуализации

Rokrat уходит в "спящий" режим, если оказывается в среде Windows XP. Кроме того, он целенаправленно ищет в системе процессы, связанные с системами виртуализации и мониторинга.

Если Rokrat обнаруживает один из этих процессов, или подвергается воздействию программ отладки, или запущен не из-под HWP-документа, он начинает генерировать большое количество "пустого" HTTP-трафика к Amazon и Hulu, очевидно, чтобы сбить с толку исследователей и сформировать фальшивые индикаторы заражения.

Для чего трояну инфраструктура "Яндекса" и Twitter

Rokrat способен делать снимки экрана и оснащен функциями кейлоггера.

Для связи зараженных ПК с командной инфраструктурой Rokrat использует ресурсы известных глобальных сервисов. В частности, исследователи Talos обнаружили семь "зашитых" в код трояна API-токенов Twitter, четыре токена "Яндекса" и один аккаунт хостингового сервиса Mediafire.

Twitter используется для хостинга командного сервера и получения Rokrat команд от своих операторов. Серверы Яндекс и Mediafire - как для хостинга командных серверов, так и для передачи данных.

Как указывают эксперты Talos, использование этих сервисов чрезвычайно затрудняют блокировку, - это легитимные и очень популярные платформы, хотя, конечно, обращение из Южной Кореи к "Яндексу" - довольно странное явление.

Представители "Яндекса" в течение 21 часа не смогли ответить на вопросы СМИ, связанные с использованием их инфраструктуры для работы Rokrat.

"Первейшая задача любого шпиона - оставаться незамеченным насколько возможно долго. Это же касается и кибершпионов и их инструментов. Функции, обеспечивающие скрытность Rokrat, указывает на высокую мотивацию и если не высокий профессионализм, то, по крайней мере, повышенную изобретательность его создателей, - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - В данном случае весьма настораживает тот факт, что киберпреступники столь успешно используют легитимные платформы для сокрытия управляющих серверов и передачи украденных данных".

Сnews