Зловмисники використовують бекдор Gcat для кібератак на енергетичні компанії України

Раніше ми описували деталі шкідливих кампаній, які спрямовані проти таких підприємств на заході України [1, 2]. У зазначених кібератаках зловмисники використовували троян BlackEnergy і спеціальний компонент KillDisk для виведення скомпрометованих систем з ладу. Вони також вдавалися до допомоги бекдор Win32/SSHBearDoor.A для управління такими системами через SSH.



19 січня нам вдалося зафіксувати нові кібератаки на енергетичні компанії України. Кілька таких компаній, які спеціалізуються на постачанні електроенергії, були атаковані ще раз, вже після серії попередніх кібератак і відключень електроенергії у грудні.

Сценарій кібератаки дуже схожий на минулі інциденти з BlackEnergy і не зазнав істотних змін. Атакуючі використовують фішингове повідомлення електронної пошти, що надсилається на адресу жертви і містить в якості вкладення шкідливий XLS-файл.


Рис. Фішингове повідомлення електронної пошти, яке використовувалося для шкідливої кампанії.

Фішингове повідомлення або лист містить дані в форматі HTML з посиланням на файл .PNG, розташований на віддаленому сервері, таким чином атакуючі реалізують механізм повідомлення про доставку вмісту передбачуваної жертви. Схожий механізм використовувався в минулих кібератаки з використанням BlackEnergy.


Рис. Розділ даних HTML, в якому вказана адреса PNG файли на віддаленому сервері.

Назва цього PNG файлу являє собою закодовану алгоритмом base64 рядок "mail_victim's_email".


Рис. Зовнішній вид так званого decoy-документа (приманки).

Зазначений вище документ-приманка містить шкідливий макрос, який схожий на використаний в минулих кібератаках BlackEnergy. Використовуючи методи соціальної інженерії, макрос намагається обдурити жертву, саботуючи її на ігнорування повідомлення безпеки Microsoft Office Security Warning. Текст повідомлення в перекладі з української звучить як: "Увага! Даний документ був створений в більш нової версії Microsoft Office. Знаходяться в ньому макроси необхідні для відображення вмісту документа."

Успішне виконання макросу призводить до запуску шкідливого ПО, яке представляє з себе завантажувач або даунлоадер. Він намагається завантажити з віддаленого сервера виконуваний файл корисного навантаження і виконати його.


Рис. Частину коду завантажувача.

Завантажувана корисне навантаження розташована на сервері з України. Сервер був демонтований після нашого звернення в організації CERT-UA і CyS-CERT.

В якості корисного навантаження завантажувача ми розраховували побачити троян BlackEnergy, однак, цей раз для кібератаки зловмисники обрали іншу шкідливу програму. Вони використовували для цього модифіковану версію бекдор з відкритими вихідними текстами під назвою gcat, який написаний на відомому скриптовом мовою програмування Python. Вихідний текст бекдор був скомпільований в виконуваний файл з використанням інструменту PyInstaller.


Рис. Підданий обфускации вихідний код бекдор GCat.

Бекдор спеціалізується на завантаженні в скомпрометовану систему інших виконуваних файлів і виконання команд інтерпретатора командного рядка (shell). Інші функції бекдор, такі як, створення скріншотів, захоплення натискань клавіш клавіатури (кейлоггер), відправка файлів на віддалений сервер, були з нього вилучені. Управління бекдорів здійснювалося атакуючими з використанням облікового запису Gmail, що ускладнює виявлення його шкідливого трафіку в мережі.

Антивірусні продукти ESET виявляють файли загрози як:

VBA/Trojandownloader.Agent.EY
Win32/Trojan.Agent.CBC
Python/Agent.N


Висновок

Наші дослідження зазначених вище кібератак та опубліковані матеріали отримали широку увагу з боку ЗМІ. Це стало наслідком двох причин.

  • Швидше за все, це перший успішний випадок використання кібератак в цілях масового відключення електроенергії.
  • На основі думок деяких security-компаній, багато відомих ЗМІ вказали на Росію як на джерело таких state-sponsored кібератак (кибергруппа Sednit a.k.a Sandworm, a.k.a Quedagh).
Перший пункт послужив відправною точкою для різних дебатов з приводу того, стало відключення електроенергії прямим впливом шкідливої програми або ж вона просто надала віддалений доступ зловмисникам, які виконали необхідні операції своїми руками. Хоча існують очевидні технічні відмінності в обох способах саботажу, результат їх діяльності зводиться до одного.

Другий пункт є ще більш суперечливим. Як ми вже вказували раніше, покладання відповідальності за проведення кібератаки на те чи інша держава або кибергруппу може бути зроблено лише у разі наявності безперечних доказів, з яких можна зробити такий висновок. В даний час ми не маємо жодних доказів, які б свідчили про те, хто стоїть за їх проведенням. Очевидно, що спроба пов'язати ці кібератаки з поточною політичною ситуацією може привести до неправильних висновків.

Індикатори компрометації

IP-адреси:
193.239.152.131
62.210.83.213

Ідентифікатор SHA-1 шкідливого XLS-файлу:
1DD4241835BD741F8D40BE63CA14E38BBDB0A816

Ідентифікатори SHA-1 шкідливих файлів:
920EB07BC8321EC6DE67D02236CF1C56A90FEA7D
BC63A99F494DE6731B7F08DD729B355341F6BF3D

Джерело: Хабрахабр
  • avatar
  • 0

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.