///AMG

Киберпреступники превратили TeamViewer в продвинутого шпиона

В теме 1 сообщение

Эксперты Check Point обнаружили серию атак, направленных на государственных служащих сразу нескольких стран. Злоумышленники использовали вредоносные документы Excel и скомпрометированную версию TeamViewer, чтобы обеспечить себе полный доступ к компьютерам жертв.

Под удар попали сотрудники финансовых ведомств и посольств Бермудских островов, Гайаны, Кении, Италии, Либерии, Ливана и Непала. Специалисты затрудняются определить цели организаторов кампании. Пока в качестве основной версии эксперты называют хищение денежных средств. В ее пользу говорит тот факт, что все жертвы были тщательно отобраны и так или иначе имели отношение к финансовым операциям своих организаций.

Заражение происходило через вредоносный XLSM-документ, замаскированный под секретные материалы Государственного департамента США. Если при открытии файла пользователь разрешал работу макросов, из таблицы выгружался зашифрованный код для скачивания остальных компонентов — легитимной программы AutoHotkeyU32 и рабочего скрипта к ней.

Этот сценарий обращался к удаленному серверу за дополнительными модулями, которые исполнялись через ту же программу. Их функции позволяли операторам получать с зараженных машин скриншоты и системную информацию, загружать и устанавливать на компьютер TeamViewer вместе с вредоносной DLL-библиотекой. Эксперты обнаружили в ее коде изменения, которые скрывают программу от жертвы и позволяют исполнять полученные извне файлы EXE и DLL.

По неизвестным причинам на момент обнаружения атак хранилище скриншотов было доступно для просмотра. Это позволило аналитикам определить часть жертв кампании и предположить, что злоумышленники атаковали сотрудников финансовых отделов. Позже злоумышленники закрыли эту директорию.

Специалисты отследили развитие данной кампании до 2018 года, отметив при этом, что атаки могли начаться и раньше. За прошедшее время злоумышленники несколько раз меняли свою технику — например, в первых инцидентах вместо документов MS Office они использовали самораспаковывающиеся архивы. Сама вредоносная DLL-библиотека также прошла заметную эволюцию: актуальный вариант с поддержкой скриптов AutoHotKey появился только в 2019 году, а до этого преступники отправляли команды программе вручную.

Аналитики также нашли следы одного из организаторов кампании на подпольных хакерских сайтах. На этих ресурсах он обсуждал технологии, которые позже нашли применение в нынешних атаках. Некоторые куски кода из этих постов полностью совпадают с описанными выше скриптами. Эксперты также обнаружили учетную запись этого пользователя на форуме похитителей платежных данных. Это также свидетельствует о том, что целью нынешней кампании была именно кража денежных средств.

Это не первый случай применения TeamViewer киберпреступниками. В 2018 году эксперты «Лаборатории Касперского» рассказали о продвинутых атаках на российскую промышленность, от которых пострадали сотни предприятий. Организаторы той кампании использовали тщательно подготовленные фишинговые письма, чтобы заставить жертв установить ПО для удаленного доступа.

 

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти