FlawedAmmmyy - это вредоносная программа типа RAT, которая может использоваться для удаленного выполнения действий на зараженном ПК. Эта вредоносная программа хорошо известна тем, что она фигурирует в особенно крупных кампаниях с широкой целевой демографической аудиторией.
Что такое вредоносная программа FlawedAmmyy?
FlawedAmmyy - это троянец удаленного доступа - вредоносная программа, которая используется злоумышленниками для получения полного контроля над целевым компьютером. Он основан на исходном коде вполне легитимной программы Ammyy Admin. Несмотря на то, что этот RAT был зарегистрирован как новая вредоносная программа в 2018 году, некоторые исследователи предполагают, что он используется с 2016 года.
FlawedAmmyy использовался несколькими злоумышленниками в массовых кампаниях спама по электронной почте, а также в целенаправленных кибератаках, направленных на предприятия автомобильной промышленности. Среди прочих, известно, что известный хакер, работающий под псевдонимом TA505, использовал это вредоносное ПО в крупномасштабных кампаниях.
Общее описание вредоносной программы FlawedAmmyy
Созданная с использованием утечки исходного кода третьей версии Ammyy Admin - легитимной программы удаленного доступа и администрирования - Flawed Ammyy позволяет злоумышленникам выполнять множество действий на зараженных ПК под управлением Windows. С помощью этой вредоносной программы хакеры могут удаленно управлять рабочим столом, манипулировать файлами, красть учетные данные и получать доступ к аудиозаписям на зараженной машине для потенциального сбора информации о своих жертвах.
Популярность FlawedAmmy начала расти особенно быстро в 2018 году, поскольку фокус внимания злоумышленников начал смещаться с операционных выкупных программ на другие типы вредоносных программ. В частности, в ноябре 2018 года актор угроз, известный как TA505, начал распространять различные вирусы-загрузчики в своих спам-кампаниях по электронной почте - сначала используя ServHelper, а затем переключившись на AndroMut - с конечной целью заразить жертв FlawedAmmyy.
В частности, исследователи обнаружили две отдельные кампании, которые распространяли FlawedAmmyy с помощью загрузчика AndroMut. Первая кампания была направлена на жертв в Южной Корее с HTML-вложениями, предназначенными для загрузки файла Office с вредоносными макросами, которые устанавливали загрузчик, который, в свою очередь, сбрасывал основную полезную нагрузку - FlawedAmmyy RAT. Масштабы других кампаний с участием AndroMut были более широкими и включали предприятия в США, ОАЭ и Сингапуре.
Другие кампании, не обязательно связанные с TA505 и имевшие место в 2019 году, использовали документ XLM, содержащий вредоносный макрос, который загружал FlawedAmmyy напрямую, минуя этап загрузчика.
Процесс выполнения FlawedAmmyy
Обычно Flawed Ammyy проникает на компьютер через почтовый спам в виде документа MS Word или MS Excel с вредоносным макросом. Примеры таких вредоносных документов вы можете найти на сайте ANY.RUN, просматривая публичные материалы по тегу maldoc-21. После открытия вредоносного файла .xls автоматически запускается макрофункция, которая запускает msiexec.exe или cmd.exe для загрузки и выполнения полезной нагрузки первого этапа. Затем этот исполняемый файл первого этапа загружает и расшифровывает другой файл, который обычно имеет имя "wsus.exe" и является самой вредоносной программой FlawedAmmyy. Wsus.exe создает персистенцию в системе и взаимодействует с C2-серверами.
Иногда вредоносные исполняемые файлы имеют цифровую подпись с сертификатом от доверенных поставщиков. Также интересно, что троян проверяет привилегии пользователя и наличие Антивирусных программ на зараженной машине и меняет поведение в зависимости от результатов этой проверки. Вы также можете узнать, чем этот метод исполнения отличается от Trickbot и Zloader.
Распространение FlawedAmmyy RAT
FlawedAmmyy распространяется с помощью спам-рассылок, темы которых обычно касаются счетов или квитанций. Письма могут содержать вложение .zip, замаскированное под информацию, относящуюся к теме письма, файл Microsoft Office или XML-вложение. Вложенные файлы в действительности могут содержать URL-адрес, который автоматически открывает окно браузера и перенаправляет жертву на веб-сайт, с которого загружаются образцы вредоносного ПО.
В некоторых кампаниях сначала загружается другой вирус, предназначенный для установки конечной полезной нагрузки, а затем он сбрасывает FlawedAmmyy на машину. Другие кампании использовали протокол Server Message Block (SMB) для прямой загрузки вредоносного ПО, минуя загрузку через браузер, что является довольно редким приемом для вредоносных программ.
Как предотвратить атаки FlawedAmmyy?
Как только FlawedAmmyy заражает ПК, он может действовать незаметно, не давая пользователям понять, что их машина действительно заражена. Это позволяет злоумышленникам со временем собирать различную информацию о своих жертвах и делает эту вредоносную программу потенциально очень разрушительной.
Однако соблюдение простых советов по безопасности в Интернете позволяет избежать заражения довольно легко - если пользователь не переходит по подозрительным ссылкам и не загружает электронные письма от неизвестных отправителей, он будет в безопасности. Однако с FlawedAmmy все немного сложнее, поскольку некоторые атаки очень целенаправленны и содержат правдоподобные электронные письма.
Поэтому пользователям рекомендуется самостоятельно проверять подлинность писем и обращать внимание на мелкие детали, прежде чем загружать файлы или переходить по URL-адресам в переписке.
Заключение
FlawedAmmyy RAT - интересная вредоносная программа, способная скрытно работать на зараженных машинах и наносить потенциально серьезный ущерб благодаря возможностям удаленного доступа. Она появлялась как в массовых, масштабных кампаниях спама по электронной почте, так и в целевых атаках на предприятия определенных отраслей, что свидетельствует о разнообразии выбора жертв операторами этой вредоносной программы.
Исследователи безопасности задокументировали эту вредоносную программу только в 2018 году, несмотря на то, что она существует с 2016 года, а это значит, что ей удавалось действовать в темноте целых два года, ускользая от исследователей или, возможно, даже обманывая их.