Trend Micro наблюдают за семействами вредоносных программ RedLine и Vidar с середины 2022 года, когда они стали использоваться злоумышленниками для атак на жертв с помощью фишинговых атак. В начале этого года RedLine с помощью вредоносной программы, похищающей информацию, атаковала гостиничный бизнес.
RedLine/Vidar
Последние исследования показывают, что угрозы, стоящие за RedLine и Vidar, теперь распространяют полезную нагрузку выкупного ПО с помощью тех же методов доставки, которые они использовали для распространения программ-"похитителей" информации. Это говорит о том, что угрозы оптимизируют свою деятельность, делая свои методы многоцелевыми. В данном конкретном случае жертва изначально получила вредоносную программу для похищения информации с сертификатами подписи кода Extended Validation (EV). Однако через некоторое время по тому же маршруту стали поступать полезные программы-вымогатели.
Сертификаты подписи кода EV выдаются организациям, юридическое и физическое существование которых подтверждено в каждой стране. Их выдача предполагает расширенную проверку личности по сравнению с обычными сертификатами подписи кода, а также генерацию закрытого ключа, для которой требуется аппаратный токен.
С июня этого года CA/Browser Forum (CABF) - отраслевая группа по инфраструктуре открытых ключей (PKI) - сделала обязательным аппаратное генерирование ключей даже для обычных сертификатов подписи кода. Это дополнительная попытка решить проблему защиты закрытых ключей, усложнив кражу закрытых ключей и сертификатов с компьютеров, поскольку их нельзя скопировать как программные данные.
Несмотря на эти дополнительные меры безопасности, с июля по август 2023 года в данном случае было использовано более 30 образцов EV с кодовой подписью. Похититель информации, обнаруженный как TrojanSpy.Win32.VIDAR.SMA, был полиморфным, причем каждый образец имел свой хэш. Хотя известны и другие случаи, когда угрожающие лица использовали сертификаты EV для своих вредоносных программ, это первый случай, когда один угрожающий субъект был замечен с таким количеством образцов. В настоящее время неизвестно, каким образом угроза получила доступ к закрытому ключу.
В предыдущем отчете операторы QAKBOT злоупотребляли обычными сертификатами подписи кода, большинство из которых использовались одним угрожающим агентом. Изучение содержимого сертификатов позволило предположить, что они были выданы непосредственно центром сертификации (ЦС) угрожающему субъекту, выдававшему себя за компании-жертвы. В случае с RedLine и Vidar можно предположить, что угрожающий субъект, подписавший сертификат EV, возможно, владеет самим хард-токеном или имеет доступ к хосту, к которому подключен хард-токен.
Сертификаты, используемые для подписи вредоносных модулей, могут быть отозваны по сообщениям исследователей безопасности, что приведет к аннулированию подписи соответствующего кода. Подписание кода с использованием сертификатов X.509 позволяет установить "дату отзыва", при которой недействительными будут считаться только модули, подписанные после указанной даты отзыва. Это сделано для того, чтобы защитить достоверность подписи кода для модулей, подписанных до компрометации закрытого ключа.
В расследованном Trend Micro случае подпись кода похитителя информации не была аннулирована, поскольку дата отзыва была установлена на 3 августа, когда мы сообщили о нарушении, а не на дату подписания образца. Образец вредоносного ПО был подписан 17 июля, т.е. раньше установленной даты отзыва, и поэтому продолжал иметь действительную проверку подписи.
Trend Micro связались с УЦ и объяснили, что сертификат должен быть отозван с использованием даты выпуска, а не даты отзыва, так что все подписи кода с использованием этого сертификата будут признаны недействительными. После этого сертификат был обработан с указанием 21 марта в качестве даты отзыва, и все подписи образца, наблюдаемые в открытом доступе, после 21 марта были признаны недействительными. Примечательно, что неэффективная установка даты отзыва - это проблема, о которой сообщалось в предыдущих научных работах.
Исследуемый сертификат имел серийный номер 5927C49718E319C84A7253F7DEB1A42 дата отзыва в списке отзыва сертификатов (CRL) была обновлена с 3 августа на 21 марта.
Вредоносные агенты, создавшие RedLine и Vidar, используют классические и хорошо отработанные приемы, чтобы заманить жертву на запуск вредоносных файлов:
- В фишинговых письмах используются фразы, призывающие к действию и вызывающие чувство срочности, на темы, связанные со здоровьем и проживанием в гостинице.
- Они используют двойные расширения, чтобы обмануть пользователей и заставить их думать, что запускаемые ими файлы - это файлы .pdf или .jpg, а не .exe, которые запускают инфекцию при запуске. Они также используют в своих интересах обычных пользователей, чей взгляд обычно скрывает расширение, в результате чего они не замечают, что исполняемый ими файл на самом деле является EXE-файлом.
- Для обхода обнаружения они используют LNK-файлы, содержащие команду на выполнение вредоносного файла.
- Несмотря на встроенные в Google Drive протоколы, автоматически оценивающие файлы для защиты систем от вредоносного ПО, злоумышленникам удается передавать вредоносные файлы через этот сервис хранения файлов.
Indicators of Compromise
URLs
- https://i.ibb.co/Gp95Qcw/2286401330.png
- https://samuelelena.co/npm/module.external/client.min.js
- https://samuelelena.co/npm/module.external/jquery.min.js
- https://samuelelena.co/npm/module.external/moment.min.js
- https://samuelelena.co/npm/module.tripadvisor/module.tripadvisor.js
- https://www.doi.org/
SHA256
- 486a9204d3b56449fd0af14bba165fd36182846a9cd9b17837d0f4f818de09e4
- 9123e42cdd3421e8f276ac711988fb8a8929172fa76674ec4de230e6d528d09a
- a6258d70bc0b5d5c87368c5024d3f23585790b14227b8c59333413082524a956
- bb3a8aafefd6d2953b2de555a085474fad6ba3b43eb60f0d594adac08b9d9cc3
- c53ff1351ab0a076ed9c5868e42627939739cfaa98786a111884a3a4dd829747
- ec835cbaad5c14ef5abcd659199c2027d2c05cee852fb82018d9d065261f304f
- f39291532290bdbbf355e79bb67019225622da9699adb5fd66cbb408cee99835
- f69fa5f7a89ef1c19214ee0c8db393ced2b166bc2f7876e3b09e7903b46d21d0
- f8cf52e98aeae2170ab68d53b99b104fa6320f54057a63d2603ecdb2ec559fc1