В марте 2024 года крупная российская компания, занимающаяся железнодорожными грузоперевозками, обратилась в компанию по кибербезопасности «Доктор Веб» по поводу подозрительного письма с вложением. Проанализировав запрос, специалисты пришли к выводу, что компания стала объектом атаки злоумышленников, целью которых был сбор информации и запуск модульного вредоносного ПО на взломанном ПК.
Использование Яндекс Браузера для закрепления в скомпрометированной системе
Злоумышленники осуществили атаку, отправив фишинговое письмо, замаскированное под резюме соискателя. Письмо содержало архив с файлом, имеющим «двойное» расширение .pdf.lnk. Такая тактика сокрытия вредоносных объектов с помощью двойных расширений часто используется злоумышленниками для обмана своих жертв. Windows по умолчанию скрывает расширения файлов, и в данном случае жертва видела только расширение .pdf, а расширение .lnk оставалось скрытым. Эта техника напоминает атаку Stuxnet в 2010 году, которая была направлена на оборудование для обогащения урана в Иране с помощью lnk-файла, спрятанного на USB-накопителе.
Файл lnk - это расширение ярлыка в Windows, которое позволяет пользователям указать путь к любому объекту ОС и запустить его с нужными параметрами. В данной атаке lnk-файл скрытно запускал командную строку PowerShell, которая затем загружала два вредоносных скрипта с сайта злоумышленников. Эти скрипты передавали полезную нагрузку, замаскированную под отвлекающие PDF-файлы и исполняемые файлы. Полезная нагрузка включала трояны с возможностью удаленного управления, сбора системной информации и загрузки дополнительных вредоносных модулей. Эти трояны также обладали функциями антиотладки, позволяющими избежать обнаружения.
Атака также использовала уязвимость в «Яндекс.Браузере» через перехват порядка поиска DLL. DLL-файлы - это библиотеки, используемые приложениями, и, манипулируя порядком поиска DLL, злоумышленники смогли поместить вредоносную библиотеку в папку с приоритетами «Яндекс.Браузера». Эта библиотека, получившая название Wldp.dll, хранилась в скрытой папке, где обычно находится легитимная библиотека Wldp.dll. Используя эту уязвимость, троян смог выполнить свою зашифрованную полезную нагрузку.
Indicators of Compromise
IPv4
- 109.248.147.132
Domains
- infosecteam.info
SHA1
- 34a4c5f28c7df23662962c3eaa0a15b7ae48b488
- 3bb6e496047aa76adf2fa7a52607cfd208403feb
- 40b87f1aeac347a8eb47f8bf99fbb8e2f4baf39b
- 60eaa4fd53b78227760864e6cf27b08bc4bdde72
- 853d6a17f0a1a4035b52699a447eeb4ad1ca6cf7
