"Лаборатория Касперского" обнаружила новый бэкдор BrockenDoor
Эксперты "Лаборатории Касперского" выявили атаки на русские компании, использующие новый бэкдор BrockenDoor. Злоумышленники применяли фишинговые рассылки и различные сценарии заражения для кражи данных через удалённый доступ.
Эксперты из "Лаборатории Касперского" выявили целенаправленные атаки на русские компании, специализирующиеся на продаже и техническом сопровождении программного обеспечения, предназначенного для автоматизации бизнес-процессов. Злоумышленники использовали новый бэкдор под названием BrockenDoor, а также известные бэкдоры Remcos и DarkGate, чтобы проникнуть в системы жертв и похитить конфиденциальную информацию.
Атаки начинались обычно с фишинговой рассылки. Преступники отправляли письма, маскируясь под реальные компании, которые специализируются на создании решений для автоматизации бизнеса. Адресатами таких писем становились организации, занимающиеся внедрением и сопровождением этих продуктов. В письме содержалось предложение ознакомиться с техническим заданием, которое было вложено в виде архива.
Были выявлены два сценария заражения. В одном из них в архиве содержался исполняемый файл, позволяющий провести атаку с использованием символа Right-to-Left Override (RLO). Этот непечатный символ Unicode меняет порядок символов, что позволяет злоумышленникам подменять названия и расширения файлов. Таким образом, пользователи открывали файл, не подозревая о его вредоносной природе. В другом сценарии в архиве находились PDF-документ и LNK-файл (ярлык), при открытии которого запускался процесс заражения.
Злоумышленники применяли различные бэкдоры, включая троянец Remcos, загрузчик DarkGate и новый вредоносный код BrockenDoor. Эти инструменты обеспечивали преступникам доступ к заражённым устройствам для кражи данных.
BrockenDoor соединялся с сервером злоумышленников, передавая им информацию, такую как имя пользователя, версия операционной системы и список файлов на рабочем столе. При выявлении интересных данных злоумышленники отправляли команды для продолжения атаки. Новый вредонос получил название "Брокенский призрак", что связано с оптическим феноменом "призрак Брокена", наблюдаемым в горах при определённых условиях. Такое название возникло благодаря использования идентификаторов Sun, Gh0st и Silhouette.
Данная кампания привлекла наше внимание из-за нестандартного применения RLO. Злоумышленники распространяли вредоносные файлы в архивах, несмотря на то что популярные архиваторы отображают название файла и расширение корректно. Мы установили, что преступники использовали различные сценарии атак и разнообразные семейства вредоносного ПО. Среди них имелись как распространённые бэкдоры Remcos и DarkGate, так и новый вредоносный инструмент BrockenDoor. На данный момент мы не можем отнести эти атаки к какой-либо известной группе, но продолжим следить за дальнейшим развитием кампании,
— отметил Артём Ушков, исследователь угроз в "Лаборатории Касперского".