Pozor na papriky v e-mailu! Nevinný obrázek šíří nový malware
Nový druh backdooru, škodlivého kódu, který umožňuje
útočníkům proniknout do systému napadených firem a provádět skrytou špionáž i
stahování citlivých dat, odhalila společnost Kaspersky.
Za malwarem PowerPepper, který se ve zvýšené míře objevil v Evropě, ale
také ve Spojených státech, stojí nechvalně proslulá skupina DeathStalker, jež patří mezi tvůrce pokročilých přetrvávajících hrozeb
(Advanced Persistent Threats, APT). Bezpečnostní experti jsou přesvědčeni, že
za úplatu nabízí pronájem svých služeb ke krádežím citlivých dat finančních
skupin a právních kanceláří.
O skupině DeathStalker informovali analytici společnosti Kaspersky poprvé
letos v srpnu a nyní zaznamenali zvýšenou aktivitu hackerů, kteří využívají ke
svým nekalým praktikám její infrastrukturu, tentokrát právě backdoor
PowerPepper. Ten k vzdálené komunikaci s řídícím serverem zneužívá přenos DNS
přes protokol HTTPS (aby tato komunikace vypadala jako legitimní). Malware
PowerPepper se umí infiltrovat několika různými technikami, včetně
steganografie (způsobu, jak ukrývat data).
DeathStalker je v oblasti APT velmi neobvyklou skupinou. Aktivní je
minimálně od roku 2012 a svoje špionážní kampaně cílí především na malé a
střední podniky, konkrétně právní kanceláře a firmy, které se pohybují ve
finančním sektoru. Na rozdíl od jiných APT skupin u ní není zjevná politická
motivace nebo touha po zisku od společností, které napadá. Spíše jedná jako
zprostředkovatel, který nabízí svoje hackerské dovednosti za úplatu třetím
stranám. Právě k tomu nyní začala využívat nový backdoor PowerPepper. Ten se
stejně jako jiné druhy malwaru spojované se skupinou DeathStalker šíří prostřednictvím
spearphishingových e-mailů se škodlivými přílohami nebo škodlivými odkazy přímo
v těle zprávy. Skupina k jeho šíření zneužila různé mezinárodní události,
například úpravy předpisů o emisích uhlíku, a dokonce i pandemii Covid-19, aby
přiměla své oběti k otevření škodlivých dokumentů.
Nemusí ho odhalit ani
antivirový software
Hlavní část škodlivého kódu je ukryta pomocí steganografie – procesu,
který útočníkům umožňuje skrýt data mezi legitimní obsah zprávy. V případě viru
PowerPepper je škodlivý kód vložen do zdánlivě běžných obrázků kapradí nebo
paprik (odtud název tohoto malwaru) a poté je extrahován skriptem zavaděče.
Jakmile se tak stane, PowerPepper začne plnit příkazy zasílané přes vzdálený
řídící server operátory skupiny DeathStalker. Cílem této operace je ukrást
citlivé obchodní informace. Malware může provádět jakýkoli shellový příkaz v
cílovém systému, včetně příkazů pro standardní průzkum dat, jako je
shromažďování informací o uživateli a souborech v počítači, procházení souborů
sdílených na síti a stahování dalších binárních knihoven nebo kopírování obsahu
do vzdálených úložišť. Příkazy přicházejí z řídícího serveru prostřednictvím
komunikace DNS přes HTTPS (DoH), což je velmi efektivní způsob, jak zamaskovat
škodlivou komunikaci a vydávat ji za legitimní dotazy na název serveru.
Využití steganografie je však jen jednou z několika technik maskování a
úniků před zraky napadané firmy, které malware používá. Zavaděč je maskovaný
jako ověřovací nástroj GlobalSign (poskytovatel služeb ověřování identity),
používá vlastní způsob krytí a části škodlivých doručovacích skriptů jsou
skryty v objektech vložených do Wordu. Komunikace odnože (implantovaného kódu)
se servery je šifrována a díky využití důvěryhodných podepsaných skriptů ji
nemusí jako škodlivou aktivitu odhalit ani antivirový software.
Přehled šifrovacích technik, které používá backdoor PowerPepper
Případy útoků malwaru PowerPepper se objevily především v Evropě, ale také
v Americe a Asii. Ve škodlivých kampaních popsaných už dřív se skupina
DeathStalker zaměřovala především na poradenské firmy a organizace, které
poskytují finanční služby nebo se věnují obchodování s kryptoměnami.
Cílí na firmy, které nemají tak robustní zabezpečení
„Malware PowerPepper opět potvrzuje, že DeathStalker je velmi
kreativním tvůrcem hrozeb – umí během krátké doby vyvinout nové odnože a
řetězce nástrojů (tzv. toolchains) ke svým útokům. PowerPepper je už čtvrtým
kmenem malwarů, které jsou spojené s touto skupinou. Nyní jsme objevili dokonce
i další, pátý potenciální kmen. Přesto, že malwary skupiny DeathStalket nejsou
zase až tak sofistikované, ukazuje se, že jsou poměrně dost účinné. Možná
proto, že jejich primárními cíli jsou malé a střední podniky, tedy organizace,
které používají méně robustní zabezpečení. Předpokládáme, že skupina DeathStalker
bude nadále aktivní, a proto bude její kampaně i nadále monitorovat,“ říká Pierre Delcher, bezpečnostní expert ve
společnosti Kaspersky.
Malwaru PowerPepper se věnoval nedávno publikovaný materiál „Powered by
Croissant. Baguette Edition“ Globálního týmu pro výzkum a analýzy společnosti
Kaspersky (Global Research and Analysis Team, GReAT).
Zveřejněno: 07. 12. 2020
