Бэкдор BrockenDoor атакует российские компании, занимающиеся автоматизацией бизнеса

Специалисты «Лаборатории Касперского» сообщают о целевых атаках на российские компании, занимающиеся продажей и сопровождением ПО для автоматизации бизнеса. В атаках злоумышленники применяли ранее неизвестный бэкдор BrockenDoor, а также уже хорошо известные вредоносы Remcos и DarkGate.

В большинстве случаев атаки начинались с рассылки фишинговых писем. Злоумышленники отправляли письма якобы от имени существующих компаний, которые создают решения для автоматизации бизнеса. Получателями были организации, занимающиеся внедрением таких продуктов у своих клиентов, а также их настройкой, сопровождением и консультированием. В письмах обычно содержалась просьба ознакомиться с неким техническим заданием, приложенном в архиве.

По словам исследователей, в одном варианте атаки в архиве содержался только один исполняемый файл, который позволял осуществить атаку с использованием Right-to-Left Override (RLO).

Отмети, что данная техника атак далеко не нова, ее «история» насчитывает более десятка лет. Так, специальный непечатный символ right-to-left override (RLO) служит для изменения порядка следующих за ним в строке знаков на обратный, в таблице Unicode он представлен как U+202E. То есть все, что следует за U+202E, будет показано задом наперед.

Легитимной областью использования RLO, к примеру, является набор текста на арабском языке. RLO-атака подразумевает введения жертвы в заблуждение (чаще всего, при отображении имени и расширения исполняемого файла), и открывает файл, не понимая, что он вредоносный.

В другом варианте атаки в архиве содержалась карточка предприятия, документ в формате PDF и LNK-файл. Если пользователь нажимал на вредоносный ярлык, запускалась цепочка заражения.

Сообщается, что злоумышленники использовали в своих атаках разные вредоносы: троян удаленного доступа Remcos, загрузчик DarkGate, а также ранее неизвестный ранее бэкдор BrockenDoor. Все это позволяло им получить доступ к зараженному устройству и в итоге похитить данные.

В итоге редонос получил название «Брокенский призрак» (Brocken Spectre). Это оптический феномен, который можно наблюдать в горах при определенных условиях. Ассоциация с этим явлением возникла у специалистов из-за идентификаторов Sun (Солнце), Gh0st (привидение) и Silhouette (силуэт), которые использовали хакеры.

BrockenDoor связывался с управляющим сервером и отправлял своим операторам различную информацию, включая: имя пользователя и компьютера, версию ОС, список найденных на рабочем столе файлов и так далее.

Если собранные данные казались злоумышленникам интересными, они отдавали бэкдору команды для запуска дальнейших сценариев атаки.

«Изначально эта кампания привлекла наше внимание из-за нестандартного использования RLO. Злоумышленники распространяли вредоносные файлы в архивах, хотя популярные архиваторы не обрабатывают символ RLO и отображают корректное название файла и расширение. Мы выяснили, что злоумышленники использовали разные сценарии атак, а также семейства вредоносного ПО. Среди них были как распространенные бэкдоры Remcos или DarkGate, так и новый зловред BrockenDoor. Пока мы не можем отнести эти атаки к какой-то известной группе, но мы будем внимательно следить за развитием кампании», — комментирует Артём Ушков, исследователь угроз в «Лаборатории Касперского».

Фото: «Лаборатория Касперского».