Когда компания Microsoft выпустила Office 2010, дроны ещё не были широко распространены. Но с тех пор многое изменилось. Офисные пакеты устаревают, а злоумышленники не упускают возможность использовать старые версии для атак. В начале 2024 года специалисты по информационной безопасности столкнулись с необычным инцидентом в Тайване. Они обнаружили, что древняя копия Microsoft Word ведёт себя подозрительно. Расследование показало: за этим стояла сложная кампания, нацеленная на местных производителей дронов. Атаки получили название Operation WordDrone.
Описание
Кампания затронула несколько организаций с апреля по июль 2024 года. На первом этапе злоумышленники атаковали рабочие станции сотрудников, а затем пытались переместиться на серверы. Для распространения внутри сети использовался инструмент Impacket wmicexec, который позволяет выполнять команды через протокол WMI. Специалисты компании Acronis рассказали о деталях кампании в своём отчёте. Они отметили, что конечной целью были тайваньские предприятия, занятые в производстве беспилотников. Эта отрасль активно развивается с 2022 года при поддержке правительства, что делает компании привлекательной целью для военного шпионажа или атак на цепочку поставок.
Техническая сторона атаки заслуживает отдельного внимания. Злоумышленники использовали технику подгрузки вредоносной DLL (динамической библиотеки) через легитимный исполняемый файл. Они поместили в одну папку три файла: оригинальную копию Winword 2010 (версия 14.0.4762.1000), подписанную библиотеку wwlib.dll и файл со случайным именем, например gimaqkwo.iqq. Эта версия Word имеет уязвимость подгрузки DLL, что позволило атакующим заставить программу загрузить модифицированную библиотеку вместо оригинальной. Сама wwlib.dll выступала в роли загрузчика: она читала зашифрованный файл, расшифровывала его и передавала управление полезной нагрузке. Затем выполнялся шелл-код, который распаковывал и внедрял в память компонент install.dll. Этот компонент отвечал за закрепление в системе - он устанавливал Winword как службу Windows с аргументом /SvcLoad, обеспечивая постоянный доступ.
Финальная стадия - бэкдор (программа для удалённого управления) под названием ClientEndPoint.dll. Перед началом работы он выполнял два важных действия. Во-первых, загружал свежую копию системной библиотеки NTDLL, чтобы удалить возможные перехваты, установленные антивирусными продуктами. Этот метод основан на технике Blindside. Во-вторых, бэкдор отключал популярные средства защиты: он сканировал список процессов на наличие сигнатур известных антивирусов и добавлял для них блокирующие правила в брандмауэр Windows. Для этого использовался код, позаимствованный из открытого проекта EDRSilencer. После очистки бэкдор проверял, разрешена ли связь с управляющим сервером, в зависимости от времени суток - в конфигурации (наборе настроек) хранилась битовая маска на каждый час недели.
Связь с сервером управления (C2) осуществлялась через закодированные в конфигурацию домены: time[.]vmwaresync[.]com и server[.]microsoftsvc[.]com. Оба домена зарегистрированы через регистратора NameSilo и защищены Cloudflare. По историческим записям DNS (системы доменных имён) удалось установить, что до использования Cloudflare серверы находились в Тайване на IP-адресах, принадлежащих провайдеру Emagine Concept. Бэкдор поддерживал несколько транспортных протоколов: TCP (обычное соединение), TLS (с шифрованием), SMB (файловый протокол), HTTP, HTTPS и WebSocket (протокол для постоянного соединения). Данные передавались в собственном бинарном формате. Всего в коде обнаружено 59 возможных команд (ActionCode). Среди них - сбор информации о системе, выполнение шелл-кода, открытие локального порта для прослушивания, подключение к удалённому адресу. Некоторые команды позволяли внедрить дополнительный модуль SessionServer.dll в процесс dllhost. Этот модуль создавал именованный канал для проксирования команд, чтобы они выполнялись от имени пользователя, а не от системной учётной записи, что снижало подозрения.
Особый интерес вызывает вектор первоначального проникновения. Аналитики не нашли точных доказательств, но все вредоносные файлы впервые появились в папке популярного тайваньского ERP-решения (системы управления предприятием) Digiwin. Исходный исполняемый файл Update.exe был заменён на winword.exe с дополнительным аргументом /SvcLoad. Более того, некоторые компоненты Digiwin содержали известные уязвимости, например CVE-2024-40521 с высоким рейтингом опасности 8,8 по шкале CVSS (Common Vulnerability Scoring System - общепринятая система оценки уязвимостей). Это указывает на высокую вероятность эксплуатации слабых мест в цепочке поставок или атаки через поставщиков ПО.
Для злоумышленников ключевым фактором стала возможность обходить защиту. Используемая версия Word 2010 имеет уязвимость подгрузки DLL, а сама библиотека wwlib.dll была подписана действительным цифровым сертификатом, выданным тайваньской компании. Это позволяло обходить некоторые средства защиты, доверяющие подписанным файлам. Кампания демонстрирует высокий уровень подготовки: серверы управления расположены в Тайване, цели - тайваньские производители дронов, а сертификат использовался как минимум с 2021 года. По всей видимости, атакующие работают целенаправленно, интересуясь не размером компании, а её профилем.
Последствия такой атаки могут быть серьёзными. Получив доступ к внутренним сетям, злоумышленники могут украсть инженерную документацию, схемы дронов или заразить производственные системы программами-шпионами. Кроме того, бэкдор мог быть использован для создания скрытых прокси-узлов, когда только одна заражённая машина связывается с сервером управления, а остальные общаются через неё. Это сильно снижает вероятность обнаружения.
Выводы очевидны: использование ультраустаревшего программного обеспечения, такого как Microsoft Office 2010, не должно оставаться незамеченным. Даже если сама программа не загружает документы, а выполняется с необычными аргументами командной строки, это повод для проверки. Современные средства защиты, способные выявлять аномалии в поведении процессов, становятся необходимостью для небольших и средних компаний, которые могут стать жертвой целенаправленных атак.
Индикаторы компрометации
IPv4
- 103.61.139.60
- 45.121.50.185
- 45.121.50.30
Domains
- time.vmwaresync.com
- microsoftsvc.com
- server.microsoftsvc.com
SHA256
- 19bbc2daa05a0e932d72ecfa4e08282aa4a27becaabad03b8fc18bb85d37743a
- 21e6a198f98ba960e073bab6c9a4f0384a938d0ac7535d7f16b5935b5bbdfa61
- 35bd7839a815d65604f3ca85a3c473266c31779946728b9a14dc6020f0b707ac
- 517522c3ad24f48ed54094df2a800f2dab3270f2b026febec9eb9728c45dee5c
- 7401e1fd539a219ef3708c9b4a9dac17efe42052b5032986c6d8dfd5a6836e14
- 74096848382ffb86a5ff0c7811b9867ad97f83d3f406b2c5aa9f357e1619fe21
- 8cfb55087fa8e4c1e7bcc580d767cf2c884c1b8c890ad240c1e7009810af6736
- a8cc9a58e0ce2be1b238867043ba846da75c4279ea201956e0ad70914b3d9f43
- d6bedad375c34999966c84dd56350961c5a99cfa89b0cd5e10aaba737d3b451f
- d8d6dcb17ea0be642c2aef7ee7164a69cd0da1824c138fdb9e931f54cbe5c121
- d9531e53036c5d04fbe7d1aeae2988c3bf0fdec63774690c5df70cc121af8de4
- dbed5812f7dbf8ff2276f896ba2ad6b1c206c2cf2569667348c7f47048032e65
- f13869390dda83d40960d4f8a6b438c5c4cd31b4d25def7726c2809ddc
