Ostateczną fazę ataku stanowiła instalacja narzędzia zdalnej administracji zapewniającego pełną kontrolę nad zainfekowanym urządzeniem. Dalsza analiza wykazała, że kampania ta, charakteryzująca się wysokim poziomem wyrafinowania, została przeprowadzona przez ugrupowanie powiązane z aktywnym od co najmniej 2013 r. chińskojęzycznym cybergangiem o nazwie Cycldek.
Chińskojęzyczne ugrupowania cyberprzestępcze często udostępniają sobie nawzajem stosowane przez siebie techniki i metodologie, co ułatwia badaczom z firmy Kaspersky tropienie aktywności powiązanej z takimi cybergangami jak LuckyMouse, HoneyMyte czy Cycldek. Z tego powodu badacze natychmiast zauważyli ataki na podmioty rządowe i wojskowe w Wietnamie, w których wykorzystywano jedne z najbardziej znanych taktyk wspomnianych ugrupowań, tzw. „DLL side-loading”. DLL, inaczej biblioteki dołączane dynamicznie, to fragmenty kodu przeznaczone do wykorzystania przez inne oprogramowanie na komputerze. DLL side-loading polega na podstępnym nakłonieniu legalnie podpisanego pliku (jak plik z pakietu Microsoft Outlook) do załadowania szkodliwej biblioteki DLL, co pozwala atakującym na obejście technologii bezpieczeństwa. W niedawno wykrytej kampanii łańcuch infekcji obejmuje trojana zdalnego dostępu, któremu badacze z firmy Kaspersky nadali nazwę FoundCore, a który zapewnia atakującym pełną kontrolę nad zainfekowanym urządzeniem.
Bardziej interesująco przedstawiała się metoda zastosowana w celu ochrony szkodliwego kodu przed analizą – metoda wskazująca na wzrost zaawansowania cyberprzestępców w omawianym regionie. Całkowicie usunięto nagłówki (lokalizację docelową oraz źródło kodu) ostatecznej szkodliwej funkcji, a nieliczne, które pozostały, zawierały niespójne wartości. W ten sposób atakujący utrudnili badaczom analizę szkodliwego oprogramowania poprzez inżynierię wsteczną. Co więcej, komponenty łańcucha infekcji są ze sobą ściśle połączone, co oznacza, że analiza pojedynczych fragmentów w odosobnieniu jest trudna, a czasami niemożliwa. W efekcie nie da się uzyskać pełnego obrazu szkodliwej aktywności.
Badacze z firmy Kaspersky odkryli również, że łańcuch infekcji pobierał dwa dodatkowe szkodliwe programy. Pierwszy z nich, DropPhone, gromadzi informacje dot. środowiska z maszyny ofiary i wysyła je do usługi DropBox. Drugi to CoreLoader, który uruchamia kod pomagający szkodnikowi uniknąć wykrycia przez aplikacje antywirusowe.
Celem omawianej kampanii były dziesiątki komputerów, z czego 80% zlokalizowanych w Wietnamie. Większość należała do sektora rządowego lub wojskowego, inne były związane ze służbą zdrowia, dyplomacją, edukacją lub polityką. Nieliczne cele znajdowały się w Azji Środkowej oraz Tajlandii.
Na podstawie podobieństw pomiędzy umieszczanym na komputerach ofiar szkodliwym oprogramowaniem a wykrytym w zeszłym roku szkodnikiem RedCore przypisaliśmy omawianą kampanię z niskim stopniem pewności ugrupowaniu Cycldek, które wcześniej uważaliśmy za mniej wyrafinowany chińskojęzyczny cybergang przeprowadzający kampanie cyberszpiegowskie w swoim regionie. Jednak sądząc po ostatniej aktywności, możliwości tej grupy są znacznie większe – powiedział Iwan Kwiatkowski, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.
W ubiegłym roku zauważyliśmy, że wiele spośród takich chińskojęzycznych ugrupowań inwestuje więcej zasobów w organizowane kampanie i doskonalenie swoich umiejętności technicznych. W tym przypadku atakujący dodali więcej warstw zaciemniania i znacząco skomplikowali inżynierię wsteczną. To oznacza, że tego typu ugrupowania mogą próbować rozszerzać swoją aktywność. Obecnie może się wydawać, że kampania ta ma charakter zagrożenia lokalnego, istnieje jednak wysokie prawdopodobieństwo, że trojan FoundCore zostanie w przyszłości zidentyfikowany w kolejnych państwach w innych regionach – dodał Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa z zespołu GReAT.
Więcej informacji na temat kampanii przypisywanej cybergangowi Cycldek znajduje się na stronie https://r.kaspersky.pl/vwfQG.
Szczegółowe informacje dotyczące wskaźników infekcji, w tym skróty plików, można znaleźć w serwisie Kaspersky Threat Intelligence Portal.
Osoby, które chcą dowiedzieć się, jak wygląda w praktyce „odciemnianie” szkodliwego oprogramowania przypisywanego ugrupowaniu Cycldek, oraz zapoznać się z zasadami inżynierii wstecznej, mogą wziąć udział w warsztacie „Targeted Malware Reverse Engineering Workshop”, który odbędzie się 8 kwietnia o godz. 16:00. Webinarium to jest przedsmakiem nowego szkolenia firmy Kaspersky dotyczącego inżynierii wstecznej na poziomie średniozaawansowanym. Dalsze informacje są dostępne na stronie https://xtraining.kaspersky.com.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.