Исследователи «Касперского» обнаружили новую версию бэкдора Loki, который использовался в серии целевых атак на российские компании.
Loki Backdoor
Вредоносная программа представляет собой приватную версию агента для фреймворка Mythic с открытым исходным кодом. Агент Loki - это совместимая с Mythic версия агента для другого фреймворка, Havoc. Модификация Loki унаследовала от Havoc различные техники, усложняющие анализ агента, такие как шифрование образа памяти, косвенный вызов системных API-функций, поиск API-функций по хэшам и другие.
После выполнения загрузчик Loki генерирует пакет, содержащий информацию о зараженной системе, такую как версия ОС, внутренний IP-адрес, имя пользователя, архитектура процессора, путь к текущему процессу и его ID, и отправляет его в зашифрованном виде на командно-контрольный (С2) сервер. Загрузчик Loki отправляет уникальный UUID вместе с зашифрованными данными на С2-сервер. Основной модуль вредоносной программы реализован в DLL, которую сервер С2 отправляет в ответ на запрос загрузчика. Основной модуль основан на версии агента Havoc, но список поддерживаемых команд частично заимствован у других агентов Mythic. Сам агент не поддерживает туннелирование трафика, поэтому для доступа к частным сегментам сети злоумышленники используют сторонние общедоступные утилиты.
Indicators of Compromise
URLs
- http://document.info-cloud.ru/data
- http://ui.telecomz.ru/data
- http://y.nsitelecom.ru/certcenter
SHA256
- 1aa8757c306622d320cf0d5ccceb15c49ba18a40ba9cb426d91a771242ccde52
- 5f8e9fe5156d14ab236213ad6ffe972e484880f8fce9382d28669f254e71c4c7
- aa544118deb7cb64ded9fdd9455a277d0608c6985e45152a3cbb7422bd9dc916
- e462d7d22208221873d99c4f7ba1bad26f5395f57e3a57d0da45c7db7093e31a
- ff4cd4ae4e621e3cc370e274268bd12d54f353350c55de4910b9654b465b7eea
- ff605df63ffe6d7123ad67e96f3bc698e50ac5b982750f77bbc75da8007625bb
