ESET: киберпреступники атаковали компании с использованием инструментов MS Office

901

15 июня 2020 года

Компания ESET, международный эксперт в области информационной безопасности, сообщает о всплеске активности группы киберпреступников Gamaredon. Злоумышленники рассылали жертвам документы с вредоносными макросами, при выполнении которых возможна загрузка различных видов малвари. Такая схема распространения нежелательного ПО встречается довольно редко.

Gamaredon использует пакет, который включает кастомный проект Microsoft Outlook Visual Basic for Applications (VBA). Злоумышленники с помощью VBScript завершают процессы в Outlook, изменяют значения реестра и отключают безопасное выполнение макроса VBA. На диске сохраняется вредоносный ОТМ (Outlook VBA project) файл, содержащий макрос, вредоносное e-mail вложение и, в ряде случаев, список контактов, которым должны быть отправлены сообщения.

https://lh4.googleusercontent.com/x6Re5Y7E_XepeQv1zUMMOxDZOGuwu_eybuhjhTQq5UnqLT2D23m6UHiTFAWUdNfl1zmofF8Wx9qKA6pCNEb7g82mWRy5iBQL4YU0aBHKFwou5drhhGL0iI7542UDwWgA6exET1c

Рис. 1 — Цепочка действий во время атак Gamaredon

Далее Outlook перезапускается со специальной опцией /altvba <OTM fileename>, которая загружает VBA-проект Gamaredon. Вредоносный код выполняется после получения события Application.Startup. Данный модуль используется для следующих целей: отправка вредоносного сообщения по контактам из адресной книги жертвы, по всем контактам одной организации или по заранее заданному списку получателей. Сообщения отправляются на русском и английском языках, однако изначально у группы были проблемы с кодировкой, которые видно на рис. 2.

https://lh5.googleusercontent.com/KawB3Omc5mdEcDwp66rQhFipuNNOgzpI6dDxFEHtoj_k2a1IS17P6BF2HyG9HzgH6-mDNe8P8pWG0HVgI3yN91xh3T_yYUdu1xG_Hy1aJ0_RuEzBX_sw2_S0MeKC9IFsvj67ekc

Рис. 2 — Сообщение, сгенерированное модулем Outlook VBA с документом во вложении

Кроме того, с помощью новых инструментов злоумышленники добавляют вредоносные макросы или ссылки на удаленные шаблоны в существующие документы атакованной системы. Это эффективный способ распространения малвари в корпоративной сети компании, поскольку файлы, как правило, циркулируют в системе и передаются между коллегами. Благодаря специальной функции, которая позволяет изменять настройки безопасности макросов Microsoft Office, зараженные пользователи не подозревают, что они подвергают риску свои рабочие станции каждый раз при открытии документов.

Gamaderon использует бэкдоры и программы для похищения файлов с целью идентификации и сбора конфиденциальных документов в зараженной системе и загрузки их на C&C-сервер. Малварь для похищения документов также способна выполнять команды с удаленного сервера.


Компания ESET — разработчик антивирусного ПО и эксперт по защите от киберугроз. Решения ESET NOD32 представлены в 200 странах.

ESET NOD32 – антивирус-рекордсмен по количеству наград VB100 британского журнала Virus Bulletin, а также ADVANCED+ и ADVANCED тестовой лаборатории AV-Comparatives. В России бизнес-версия ESET прошла сертификацию ФСТЭК.








Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

Предметная область
Отрасль
Управление (роль)
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.