Andariel атакует при помощи DTrack и Maui

Киберпреступники из группировки Andariel атакуют компании с использованием нескольких зловредов.

Киберпреступники из группировки Andariel атакуют компании с использованием нескольких зловредов.

Наши эксперты исследовали активность Andariel, которая предположительно является подгруппой корейской APT-группировки Lazarus. Злоумышленники используют зловред DTrack и шифровальщик Maui для атак на предприятия по всему миру. Традиционно для Lazarus, основная цель атак заключается в получении финансовой выгоды. На этот раз за счет шантажа.

Кого атакует группировка Andariel

Согласно выводам наших экспертов, группировка Andariel не фокусируется на какой-либо отдельной отрасли — она готова атаковать любую подвернувшуюся компанию. В июне американское Агентство по кибербезопасности и защите инфраструктуры сообщало, что шифровальщик Maui атакует в основном компании и государственные организации, работающие в сфере здравоохранения в США. Однако наши специалисты также обнаружили как минимум одну атаку на жилищную компанию в Японии и несколько дополнительных жертв в Индии, Вьетнаме и России.

Инструменты группировки Andariel

Основной рабочий инструмент группировки Andariel — зловред DTrack, известный достаточно давно. Он служит для сбора информации о жертве и отсылки этой информации на удаленный хост. В числе прочего, DTrack интересуется историей браузера и сохраняет ее в отдельный файл. Вариант зловреда, используемый в атаках Andariel, умеет отправлять собранную информацию не только на сервер злоумышленников через протокол HTTP, но также сохранять ее на удаленном хосте в сети жертвы.

Непосредственно с интересующими злоумышленников данными работает шифровальщик-вымогатель Maui. Он детектируется на атакуемых хостах через десять часов после активации зловреда DTrack. Не так давно его исследовали наши коллеги из Stairwell и пришли к выводу, что данный шифровальщик управляется злоумышленниками в ручном режиме, то есть операторы указывают, какие конкретно данные следует зашифровать.

Еще один инструмент, которым, по всей видимости, пользуются злоумышленники, называется 3Proxy. Это в принципе легитимный бесплатный кроссплатформенный прокси-сервер, который, вероятно, интересен злоумышленникам из-за компактного размера (он весит всего лишь несколько сотен килобайт). Инструмент такого типа может использоваться для поддержания удаленного доступа к скомпрометированному компьютеру.

Как именно Andariel распространяет свои зловреды

Злоумышленники эксплуатируют необновленные версии публичных онлайн-сервисов. В одном из случаев зловреды были загружены HTTP-сервером HFS: преступники воспользовались неизвестным эксплойтом, который позволил им запустить скрипт Powershell с удаленного сервера. В другом — им удалось скомпрометировать сервер Weblogic через эксплойт к уязвимости CVE-2017-10271, что также в итоге помогло им запустить посторонний скрипт.

Более подробное техническое описание атаки и инструментов злоумышленников, наряду с индикаторами компрометации, можно найти в посте на блоге Securelist.

Как оставаться в безопасности?

Первым делом следует убедиться, что все корпоративные устройства, включая серверы, снабжены надежными защитными решениями. Кроме того, полезно заранее продумать стратегию защиты от шифровальщиков и меры на случай, если заражение все-таки произойдет.

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.