Компания Positive Technologies обнаружила новую компанию рассылки вредоносного кода от хакерской группировки Dark River – сейчас она целенаправленно атакует предприятия российского ОПК. Эксперты изучили внутреннее устройство и принципы работы модульного троянского коня MataDoor, принадлежащего Dark River, и отметили серьезные финансовые и интеллектуальные ресурсы, которые разработчики вложили в развитие своей криминальной инфраструктуры.
Атакующие ИТ
Исследователи считают, что внедрение троянца начинается с фишинговых писем, к которым злоумышленники прикрепляют документ в формате DOCX, посвященный сфере деятельности атакованного предприятия. Особенность работы бэкдора заключается в том, что он побуждает получателя включить режим редактирования документа — просто открыть вложение недостаточно. Это является необходимым условием для отработки эксплоита. Похожие письма, содержащие документы с эксплойтами для уязвимости CVE-2021-40444, рассылались на российские предприятия ОПК в августе-сентябре 2022 года. Например, злоумышленники намеренно использовали в тексте документа неконтрастный шрифт. Чтобы его прочитать, пользователь менял цвет шрифта, запуская режим редактирования. Одновременно с этим происходила загрузка и выполнение вредоносной полезной нагрузки с контролируемого киберпреступниками ресурса.
После проникновения на компьютер жертвы MataDoor, по мнению экспертов Positive Technologies, тщательно маскируется: имена его файлов похожи на названия легального ПО, установленного на зараженных устройствах. При этом, ряд образцов имеет действительную цифровую подпись. Чтобы максимально усложнить обнаружение вредоносное ПО, его разработчики использовали различные виды утилит-упаковщиков, скрывающих вредоносный код.
«Главная особенность бэкдора MataDoor в том, что он имеет сложную архитектуру, — подчеркнул Максим Андреев, старший специалист отдела исследования угроз ИБ Positive Technologies. — Анализ кода показывает, что в разработку этого инструмента были вложены серьезные ресурсы. Это хорошо продуманный вредонос с глубокой индивидуальной разработкой в плане транспорта, скрытности и архитектуры. Группировка не стала использовать коробочные решения, многие протоколы намеренно реализованы разработчиком самостоятельно. Большая и сложная транспортная система позволяет гибко настраивать коммуникацию с командой оператора, с сервером, чтобы оставаться скрытым и незамеченным. Это вредоносное ПО может действовать даже в логически изолированных сетях, вытаскивать и передавать данные откуда угодно».
Рекомендации
По словам члена комитета Госдумы по информполитике Антона Немкина, в российском оборонно-промышленном комплексе почти каждое предприятие столкнулось с кибератаками в период с 2022 года по настоящее время. В целях безопасности всегда важно оценивать следующие аспекты: есть ли в письме нетипичные для переписок компании вложения, верна ли подпись, мог отправитель написать такое послание и насколько его вопрос соответствует компетенциям потенциальной жертвы, считает депутат. Впрочем, переход с устаревшего программного обеспечения Microsoft Office на различные аналоги также поможет защититься от атак с помощью известных уязвимостей и макровирусов.
