Анализ бэкдора .exe с цифровыми подписями и связью с Silver Fox

Вредоносные программы с легитимными цифровыми подписями: новая волна угроз в Японии

Авторы вредоносных программ становятся все изощрённее — они все чаще используют законные цифровые подписи, чтобы обходить системы обнаружения и повышать доверие пользователей. Недавний анализ выявил образец бэкдора под названием «.exe» (Уведомление о системе оплаты труда Revision.exe), который распространялся через фишинговые сайты, ориентированные на японскую аудиторию.

Особенности вредоносной программы

Указанный бэкдор подписан украденным сертификатом от компании «Sid Narayanan Ltd» и является частью масштабной кампании с использованием различных цифровых сертификатов. Технический разбор с помощью PE Studio выявил несколько подозрительных импортов, характерных для вредоносного ПО:

• ShellExecute;
• WriteFile;
• LoadLibrary.

Пример «.exe» содержит путь к базе данных встроенной программы (PDB), что указывает на его функциональность как бэкдора.

Механизмы работы и функциональность бэкдора

Анализ показал, что программа выполняет следующие действия:

• Инициализирует Security Identifier (SID) с предопределёнными значениями;
• Проверяет, запущен ли процесс с правами администратора, что свидетельствует о необходимости повышения привилегий;
• Извлекает локальный каталог данных приложения и создаёт в нём подкаталог с именем «a»;
• Создаёт ZIP-файл ‘a.zip’, в котором полезная нагрузка перед записью на диск обфусцируется с помощью многобайтового преобразования на основе фиксированного ключа в памяти;
• Запускает другой исполняемый файл — «Run.exe» из указанного каталога с определёнными параметрами, обеспечивая его чистое выполнение;
• Использует функции CreateProcessW и ShellExecuteExA для обхода контроля учётных записей пользователей (UAC) и повышения привилегий при необходимости;
• Поддерживает постоянную связь с командно-контрольным сервером (C2), отправляя импульсные пакеты каждые несколько минут для подтверждения подключения.

Связь с более широкой кампанией и киберугрозами из Китая

Дальнейшее расследование установило, что IP-адрес сервера C2 связан с вредоносным ПО Winos 4.0, ориентированным преимущественно на пользователей Тайваня. При этом имеются данные, указывающие на целенаправленные атаки и в Японии.

Платформа Winos 4.0 известна своей причастностью к шпионской деятельности на китайском языке и связывается с китайской хакерской группой «Silver Fox». Охранные компании подтвердили эту связь, подчеркнув характерные особенности вредоносного ПО и его оперативные коммуникации, указывающие на участие китайских киберпреступников.

Примечательно, что наряду с китайским аналогом был обнаружен инструмент удалённого доступа с пересекающимися идентификаторами, что подчёркивает широкий спектр угроз, создаваемых данной кампанией.

Выводы

Использование украденных цифровых сертификатов для подписи вредоносного ПО значительно усложняет задачу обнаружения угроз и требует от специалистов по кибербезопасности постоянного совершенствования методов анализа. Кампания с участием бэкдора «.exe» демонстрирует тесную связь региональных атак на Японию и Тайвань с глобальными киберугрозами, исходящими из Китая.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.