Отчет компании Kaspersky: «Microcin снова в деле»

Дата: 12.07.2020. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности

В начале 2020 г. специалисты компании Kaspersky обнаружили троянский вирус, который был интегрирован в память системного процесса на устройстве жертвы. Выяснилось, что главной целью кибератаки стала дипломатическая организация. Особое внимание специалисты Kaspersky уделили архитектуре вредоносного ПО и асинхронной работе с сокетами в нем.

Теперь, в июле 2020 г., функция в сетевом модуле и ее взаимодействие с загрузчиком схожа со стандартным API. Подобные решения в сфере разработки вредоносного софта наблюдаются крайне редко и применяются только киберпреступными группировками высокого уровня.

За счет повторного применения командного сервера (который был арендован у Choopa VPS service) по технологии профилирования зараженной системы и аналогичности программного кода специалисты компании Kaspersky с высокой долей вероятности отмечают, что данная киберпреступная кампания относится к группировке Microcin.

Вместе с этим, данная группировка ранее не пользовалась отмеченными выше архитектурой и стилями программирования. Анализируя случившееся, специалисты Kaspersky не нашли аналогичного инструментария с открытым исходным кодом – высока вероятность, что киберпреступники разработали вредоносное троянское ПО самостоятельно.

Чтобы доставить новый сетевой модуль, архитектура которого во многом схожа со стандартными корпоративными мобильными приложениями, киберпреступная группировка Microcin применяла стеганографию в картинках.

Область интересов группировки Microcin все та же – шпионские действия в отношении дипломатических организаций из разных стран мира. Киберпреступники продолжают пользоваться стеганографией, чтобы доставить данные конфигурации и вспомогательных модулей – теперь с обычного публичного хостинга картинок Cloudinary. Особенно выделяется одна картинка, которая связана с получившим распространение запретом GitLab на наем российских и китайских граждан. Если рассматривать вопрос с точки зрения программирования, схожая с API модульная архитектура и асинхронность взаимодействия с сокетами стали для группировки Microcin серьезным прогрессом.

С полной версией отчета «Microcin снова в деле» от компании Kaspersky можно ознакомиться по этой ссылке.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *