Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении нового семейства вредоносного программного обеспечения, связанного с группой киберпреступников Ke3chang, а также неизвестного ранее бэкдора.
Новый бэкдор, который получил название Okrum, впервые был обнаружен в 2016 году и оставался активным в 2017году. Вредоносная программа использовалась для атак на дипломатические миссии и государственные учреждения в Бельгии, Словакии, Бразилии, Чили и Гватемале. Стоит отметить, что специалисты ESET наблюдали за деятельностью группы Ke3chang уже несколько лет.
Ранее специалисты ESET обнаруживали деятельность бэкдора Ketrican в нескольких европейских странах. Большинство атак были направлены на цели в Словакии, Хорватии и Чехии. Анализируя это вредоносное программное обеспечение, исследователи ESET обнаружили, что оно связано с группой Ke3chang.
«Мы заметили связь между этими событиями, когда обнаружили, что бэкдор Okrum был использован для загрузки Ketrican версии 2017 года. Кроме того, мы обнаружили, что некоторые дипломатические лица, пострадавшие от Okrum и бэкдора Ketrican версии 2015 года, стали жертвами и в 2017 году, — отмечают исследователи ESET. — В этом году группа все еще остается активной, в частности, в марте мы обнаружили новый образец Ketrican».
Исследования ESET доказывают, что Okrum тоже принадлежит группе киберпреступников Ke3chang. Кроме похожих целей, Okrum имеет и подобный Ke3chang способ распространения. Например, новый бэкдор обладает лишь базовыми командами и использует ручной ввод shell-команд и выполнение внешних инструментов для большинства действий. Аналогичный механизм работы использует и группа Ke3chang в своих кампаниях.
Несмотря на то, что обнаруженные вредоносные программы не являются технически сложными, специалисты ESET обнаружили, что операторы Okrum пытались остаться незамеченными. В частности, компонент бэкдора скрыт в файле PNG. При открытии файла в программе для просмотра изображений пользователю отображается изображение PNG, однако загрузчики Okrum могут открывать дополнительный зашифрованный файл, который пользователь не может увидеть.
Кроме того, операторы вредоносного программного обеспечения пытались скрыть вредоносный трафик с его командным сервером в пределах обычного сетевого трафика, зарегистрировав, казалось бы, легитимные доменные имена. «Например, образцы угрозы, которые были направлены на цели в Словакии, имели доменные имена, которые имитировали словацкий портал карт», — рассказывают специалисты ESET.
Стоит отметить, что каждые несколько месяцев авторы Okrum активно меняли реализацию компонентов загрузчика и инсталлятора бэкдора для избежания их обнаружения. На момент публикации исследования системы ESET обнаружили семь различных версий компонента загрузчика, а также две версии инсталлятора, хотя их функционал оставался неизменным.
Более детальный анализ бэкдоров Ketrican и Okrum доступен по ссылке.