Новый бэкдор Vasilek и методы «Киберпартизан»: угроза России и Беларуси
Источник: ics-cert.kaspersky.com
Киберпартизанская группировка «Киберпартизаны», известная своими целенаправленными атаками на правительственные и промышленные объекты в России и Беларуси, снова проявила активность. По результатам недавнего расследования специалистов Kaspersky ICS CERT, выявлено внедрение нового сложного бэкдора, получившего название Vasilek. Его уникальный способ коммуникации и высокая степень скрытности расширяют возможности злоумышленников и увеличивают риск для критически важных инфраструктур.
Особенности вредоносного кода Vasilek
В отличие от классических серверов команд и контроля (C&C), Vasilek использует неочевидный канал связи — специальную группу в Telegram. Это позволяет нападающим отправлять команды и получать данные, оставаясь вне поля зрения традиционных систем мониторинга.
Методы заражения отличаются многообразием и маскировкой под легитимные приложения. В частности, злоумышленники использовали фишинговые email, в которых предлагалась установка FortiClient VPN. Вместо обычной программы в систему внедрялась утилита DNSCat2, предоставляющая удалённое управление через DNS-протокол, что позволяет обходить средства сетевой безопасности.
- Обфускация и скрытность. DNSCat2 обменивается данными через протокол DNS, позволяя обходить сегментацию сети и межсетевые экраны.
- Горизонтальное перемещение. Вредоносный компонент распаковывается в системный каталог; ключ дешифрования извлекается из имени хоста жертвы.
- Зашифрованная полезная нагрузка. Обфускатор гарантирует, что вредоносный код находится в зашифрованном виде до момента исполнения.
Использование вредоносного ПО Pryanik и эксплойтов
Кроме Vasilek, исследователи обнаружили применение вредоносной программы Pryanik, представляющей собой логическую бомбу с замедленной активацией. Она запускается в заранее заданное время, что позволяет злоумышленникам провести разрушительные действия в системе жертвы с максимальным эффектом.
Для повышения прав и обхода защитных механизмов Pryanik эксплуатирует уязвимость в драйвере Zemana (CVE-2021-31728). Использование этой уязвимости дает возможности:
- эскалации привилегий;
- завершения процессов безопасности;
- удаления журналов событий;
- запуска процедур перезаписи данных.
Технологии для обеспечения скрытности и устойчивости атаки
Чтобы максимально сохранить право доступа и маскировать активность, злоумышленники применяют распространенные инструменты:
- Для сбора учетных данных — Mimikatz.
- Для избегания обнаружения — выполнение payload в памяти без записи на диск.
- Использование средств удаленного управления и прокси-серверов, таких как GOST и 3proxy, для туннелирования и маскировки сетевого трафика.
Особенно сложной является операционная система Vasilek, которая перед активацией тщательно проверяет имя хоста на наличие хэшей и запускается исключительно в условиях, соответствующих параметрам целевой жертвы. Это позволяет избежать активации в условиях анализа вредоносного ПО и снизить вероятность автоматического выявления.
Выводы и перспективы угрозы
Данные расследования подчеркивают развитие тактик группы «Киберпартизаны» — переход к более изощренным и устойчивым методам воздействия на инфраструктуру. Использование целого комплекса вредоносных инструментов и методов заражения говорит о серьезной угрозе для политически значимых объектов и промышленных предприятий.
Эксперты Kaspersky ICS CERT отмечают, что:
«Наблюдается чёткая тенденция к увеличению технологической сложности и адаптивности вредоносных операций, что требует постоянного совершенствования систем обнаружения и реагирования на инциденты.»
Учитывая активизацию подобных кибератак, организациям важно поддерживать актуальные меры защиты, проводить мониторинг подозрительной активности и своевременно реагировать на инциденты, чтобы минимизировать потенциальный ущерб.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
