Простой конвертер температуры похитил секреты десятков военных подрядчиков по всему миру
NewsMakerSnake Keylogger отключает антивирусную защиту одной командой и выгружает данные без остатка.
Турецкие ИБ-специалисты из Malwation обнаружили масштабную фишинговую кампанию, нацеленную на предприятия оборонного и аэрокосмического секторов. Злоумышленники маскируют вредоносные вложения под официальные документы от имени турецкой государственной авиастроительной корпорации TUSAŞ, вводя в заблуждение сотрудников и стремясь получить доступ к корпоративным системам.
Рассылка электронных писем сопровождается вредоносными вложениями, замаскированными под деловую документацию, якобы связанную с тендерами и контрактами от имени TUSAŞ. Файлы, которые выглядят как Excel-таблицы или документы Word — на самом деле являются исполняемыми PE32-программы для Windows на платформе .NET, содержащие модифицированную версию зловреда Snake Keylogger.
Snake Keylogger — это программа, предназначенная для кражи конфиденциальной информации, включая логины, пароли, cookies, данные банковских карт и автозаполнения. Механизмы устойчивости к обнаружению этого вредоноса говорят о высокой степени продуманности: сразу после запуска программа отключает защиту Windows Defender с помощью PowerShell-команд, добавляя себя в список исключений. Затем настраивает запуск при старте системы через встроенный планировщик задач, создавая XML-конфигурации во временных директориях.
Инцидент был оперативно передан в национальную команду реагирования на киберинциденты Турции (USOM), где сейчас ведётся работа по уведомлению потенциальных жертв и координации усилий по нейтрализации угрозы. Углублённый анализ показал, что изначально исполняемый файл запускает безвредное приложение Windows Forms под названием «temperatureConverterForm», внешне выполняющее только конвертацию температуры. Это позволяет скрыть настоящие намерения до загрузки вредоносных компонентов.
Дальнейшее выполнение ведёт к загрузке вложенных .NET-сборок в оперативную память с использованием методов Assembly.Load и Activator.CreateInstance. Такая схема напоминает матрёшку — один уровень кода запускает следующий, пока не достигнута финальная вредоносная нагрузка, получившая условное имя «Remington». Хотя ряд механизмов защиты от анализа в этой сборке пустые, их наличие указывает на потенциал дальнейшей доработки вредоносного кода.
Вредонос собирает данные из почтовых клиентов, включая Outlook, FoxMail и Thunderbird. Он сканирует системный реестр, извлекает зашифрованные пароли и расшифровывает их с помощью встроенных функций. Помимо этого, он похищает информацию из более чем 30 браузеров: Chrome, Firefox, Edge, Vivaldi, Brave и других, получая доступ к cookies, скачанным файлам, данным автозаполнения, банковским картам и списку посещённых сайтов.
Дополнительно реализованы функции противодействия песочницам, виртуальным средам и анализу, включая проверку на известные IP-адреса сэндбоксов. Полученные данные злоумышленники могут передавать через почтовые SMTP-серверы, FTP или Telegram. Один из конфигурационных файлов содержал DES-зашифрованные данные для почтового подключения, включая адрес «mail.htcp.homes» и логин « royals@htcp.homes ». Расшифровка возможна при помощи Python-скриптов, использующих ключи, полученные через MD5.
Для обнаружения подобной активности можно использовать специально составленное правило YARA, идентифицирующее образцы с применением защитной обфускации Cassandra Protector. Среди признаков — использование библиотеки System.Drawing.Bitmap и высокий уровень энтропии в коде. Инструменты анализа также фиксируют использование системных вызовов, таких как NtCreateUserProcess, PowerShell-команд, отключающих защиту, и запуск schtasks.exe для закрепления в системе.
Эта атака подчёркивает растущую изощрённость вектора атак с использованием фишинга и вредоносных вложений, ориентированных на высокочувствительные отрасли. Она также демонстрирует необходимость ужесточения фильтрации писем, внедрения поведенческого анализа и мониторинга на уровне выполнения, чтобы противостоять подобным угрозам .
Турецкие ИБ-специалисты из Malwation обнаружили масштабную фишинговую кампанию, нацеленную на предприятия оборонного и аэрокосмического секторов. Злоумышленники маскируют вредоносные вложения под официальные документы от имени турецкой государственной авиастроительной корпорации TUSAŞ, вводя в заблуждение сотрудников и стремясь получить доступ к корпоративным системам.
Рассылка электронных писем сопровождается вредоносными вложениями, замаскированными под деловую документацию, якобы связанную с тендерами и контрактами от имени TUSAŞ. Файлы, которые выглядят как Excel-таблицы или документы Word — на самом деле являются исполняемыми PE32-программы для Windows на платформе .NET, содержащие модифицированную версию зловреда Snake Keylogger.
Snake Keylogger — это программа, предназначенная для кражи конфиденциальной информации, включая логины, пароли, cookies, данные банковских карт и автозаполнения. Механизмы устойчивости к обнаружению этого вредоноса говорят о высокой степени продуманности: сразу после запуска программа отключает защиту Windows Defender с помощью PowerShell-команд, добавляя себя в список исключений. Затем настраивает запуск при старте системы через встроенный планировщик задач, создавая XML-конфигурации во временных директориях.
Инцидент был оперативно передан в национальную команду реагирования на киберинциденты Турции (USOM), где сейчас ведётся работа по уведомлению потенциальных жертв и координации усилий по нейтрализации угрозы. Углублённый анализ показал, что изначально исполняемый файл запускает безвредное приложение Windows Forms под названием «temperatureConverterForm», внешне выполняющее только конвертацию температуры. Это позволяет скрыть настоящие намерения до загрузки вредоносных компонентов.
Дальнейшее выполнение ведёт к загрузке вложенных .NET-сборок в оперативную память с использованием методов Assembly.Load и Activator.CreateInstance. Такая схема напоминает матрёшку — один уровень кода запускает следующий, пока не достигнута финальная вредоносная нагрузка, получившая условное имя «Remington». Хотя ряд механизмов защиты от анализа в этой сборке пустые, их наличие указывает на потенциал дальнейшей доработки вредоносного кода.
Вредонос собирает данные из почтовых клиентов, включая Outlook, FoxMail и Thunderbird. Он сканирует системный реестр, извлекает зашифрованные пароли и расшифровывает их с помощью встроенных функций. Помимо этого, он похищает информацию из более чем 30 браузеров: Chrome, Firefox, Edge, Vivaldi, Brave и других, получая доступ к cookies, скачанным файлам, данным автозаполнения, банковским картам и списку посещённых сайтов.
Дополнительно реализованы функции противодействия песочницам, виртуальным средам и анализу, включая проверку на известные IP-адреса сэндбоксов. Полученные данные злоумышленники могут передавать через почтовые SMTP-серверы, FTP или Telegram. Один из конфигурационных файлов содержал DES-зашифрованные данные для почтового подключения, включая адрес «mail.htcp.homes» и логин « royals@htcp.homes ». Расшифровка возможна при помощи Python-скриптов, использующих ключи, полученные через MD5.
Для обнаружения подобной активности можно использовать специально составленное правило YARA, идентифицирующее образцы с применением защитной обфускации Cassandra Protector. Среди признаков — использование библиотеки System.Drawing.Bitmap и высокий уровень энтропии в коде. Инструменты анализа также фиксируют использование системных вызовов, таких как NtCreateUserProcess, PowerShell-команд, отключающих защиту, и запуск schtasks.exe для закрепления в системе.
Эта атака подчёркивает растущую изощрённость вектора атак с использованием фишинга и вредоносных вложений, ориентированных на высокочувствительные отрасли. Она также демонстрирует необходимость ужесточения фильтрации писем, внедрения поведенческого анализа и мониторинга на уровне выполнения, чтобы противостоять подобным угрозам .