20 октября 2015

HDRoot: новая (или старая?) игрушка APT-группы Winnti

Бизнес

В болоте активных APT-кампаний всегда что-нибудь да шевелится. Исследователи то и дело вылавливают и заносят в каталоги новые угрозы, но и старые имена тоже иногда всплывают на поверхность. Пресловутая APT-группа Winnti, скорее всего, китайского происхождения, преподнесла довольно загадочный образчик вредоносной программы. Когда эксперты «Лаборатории Касперского» взялись за его изучение, экземпляр оказался «универсальной платформой для настойчивого и постоянного появления в целевой системе, которую можно использовать в качестве плацдарма для любого произвольного инструмента». Знакомьтесь, это HDRoot.

Универсальная платформа

Securelist опубликовал двухчастное исследования данной угрозы, очень техническую по сути, так что давайте погрузимся в кое-какие детали:

HDRoot — продвинутый руткит, который пытается выдать себя пользователям и администраторам за файл net.exe сетевой команды Microsoft. При этом перехваченный экземпляр был защищен коммерческим исполняемым файлом VMProtect Win64, подписанным известным скомпрометированных сертификатом, принадлежащим китайской Guangzhou YuanLuo Technology. Группа Winnti попадалась на злоупотреблении этим сертификатом при подписывании других инструментов, так что авторство вредоносной программы (в целом) вопросов не вызывает.

Исследователи Центра глобальных исследований и анализа угроз «Лаборатории Касперского» сумели выделить два типа бэкдоров, запущенных с помощью этой платформы, а их может быть и больше.

Один из этих бэкдоров смог обойти такие антивирусные продукты как V3 Lite и V3 365 Clinic компании AhnLab и ALYac фирмы ESTsoft. Winnti использовали его, чтобы запустить вредоносное ПО на системах-мишенях в Южной Корее, которая представляет собой основную область интересов группы Winnti. Тем не менее, заражения HDRoot были выявлены в Великобритании и России, в компаниях, которые прежде становились целями группы Winnti.

winnti_main

Winnti

Сама Winnti достаточно своеобразна. Будучи активной, по крайней мере, с 2009 года, до недавнего времени она ориентировалась, главным образом, на компании игровой индустрии, воруя цифровые сертификаты, подписанные законными вендорами программного обеспечения, наряду с интеллектуальной собственностью, такой как исходный код онлайновых игровых проектов.

Эти сертификаты позднее использовали для подписи вредоносного ПО, как и в случае HDRoot.

Однако теперь Winnti также уличили в нападках на фармацевтические компании, хотя это и очень разные отрасли с игровой индустрией.

Прошлогодний отчёт по Winnti доступен здесь.

Схалтурили?

Согласно Securelist, HDRoot «создан не очень аккуратно, что отчасти идёт вразрез с действиями, ожидаемыми от такого серьёзного APT-игрока, как Winnti». Есть ряд ошибок, из-за которых он поддаётся обнаружению, несмотря на все попытки замести следы.

Каким бы странным это ни казалось, злоумышленники, по-видимому, экономят усилия, на чём только можно. Как написал Дмитрий Тараканов, старший эксперт по безопасности Центра глобальных исследований и анализа угроз «Лаборатории Касперского», Winnti, «вероятно, знают по опыту, какие следы заметать, а какие оставлять нельзя, потому что организации не всегда применяют лучшие политики безопасности».

Тараканов также отметил, что системные администраторы должны оставаться на высоте, несмотря ни на что, и, если команда их мала, велики шансы на то, что злонамеренная деятельность останется незамеченной.

К счастью, продукты «Лаборатории Касперского» (как потребительские, так и корпоративные) успешно блокируют вредоносные программы и защищают пользователей от этой угрозы.

Вторая часть исследования HDRoot доступна по этой ссылке.