Новая кибератака на Азербайджан: будьте внимательны! все еще актуально
Специализирующаяся на борьбе с киберугрозами лаборатория Deep Instinct зарегистрировала начало новой атаки на цифровую инфраструктуру Азербайджана.
В компании заявляют, что атака была проведена с помощью нового вируса, написанного на языке программирования Rust. Пока неизвестно, какая именно хакерская группа стоит за этой атакой, которая, как утверждают эксперты Deep Instinct, осуществляется двумя способами.
Первый инструмент — это LNK-файл под названием «1.КАРАБАХ.jpg.lnk», представляющий собой изображение, связанное с недавним военным конфликтом в Карабахе. Файл LNK загружает и запускает установщик MSI, размещенный в Dropbox. Затем этот установщик удаляет имплантат, написанный на Rust, а также XML-файл для запланированной задачи по выполнению имплантата и файл ложного изображения.

Отметим, что файл изображения содержит водяные знаки, используемые Министерством обороны Азербайджана.
Второй инструмент представляет собой модифицированную версию файла в формате документа, ранее использовавшегося хакерской группой «Шторм-0978». В этом документе CVE-2017-11882 используется в редакторе формул Microsoft для загрузки и установки вредоносного MSI-файла, который содержит вариант того же имплантата Rust, а также ложный счет-фактуру в формате PDF.
После того как имплант Rust запускается, он «засыпает» на 12 минут. Речь идет об известном методе, позволяющим избежать обнаружения исследователями безопасности и песочницами.
Затем имплантат собирает информацию и отправляет ее на сервер злоумышленника. Согласно сообщению в блоге Deep Instinct Threat Lab, компания не смогла приписать эти атаки какому-либо из известных злоумышленников. Однако тот факт, что оба имплантата Rust не были обнаружены при первой загрузке в VirusTotal, подтверждает, что написание вредоносного ПО на «экзотических» языках способно обойти многие решения безопасности.
Использование имплантата Rust в этой кампании важно по нескольким причинам.
Во-первых, Rust — это относительно новый язык программирования, еще не получивший широкого распространения среди авторов вредоносных программ. Из-за этого продуктам безопасности становится сложнее обнаруживать вредоносное ПО Rust.
Во-вторых, Rust — это компилируемый язык, следовательно, перед выполнением эта вредоносная программа преобразуется в машинный код, что затрудняет реверс-инжиниринг вредоносного ПО.
Deep Instinct отмечает, что Азербайджан и Армения были вовлечены в несколько конфликтов, сопровождавшихся значительным количеством кибератак. При этом важно не упускать из виду и не игнорировать недавнюю напряженность в отношениях между Азербайджаном и Ираном как одну из потенциальных причин упомянутой выше вредоносной кампании.