Новая кибератака на Азербайджан: будьте внимательны! все еще актуально

Аскер Манафов, обозреватель haqqin.az

Специализирующаяся на борьбе с киберугрозами лаборатория Deep Instinct зарегистрировала начало новой атаки на цифровую инфраструктуру Азербайджана.

В компании заявляют, что атака была проведена с помощью нового вируса, написанного на языке программирования Rust. Пока неизвестно, какая именно хакерская группа стоит за этой атакой, которая, как утверждают эксперты Deep Instinct, осуществляется двумя способами.

Первый инструмент — это LNK-файл под названием «1.КАРАБАХ.jpg.lnk», представляющий собой изображение, связанное с недавним военным конфликтом в Карабахе. Файл LNK загружает и запускает установщик MSI, размещенный в Dropbox. Затем этот установщик удаляет имплантат, написанный на Rust, а также XML-файл для запланированной задачи по выполнению имплантата и файл ложного изображения.

Специализирующаяся на борьбе с киберугрозами лаборатория Deep Instinct зарегистрировала начало новой атаки на цифровую инфраструктуру Азербайджана

Отметим, что файл изображения содержит водяные знаки, используемые Министерством обороны Азербайджана.

Второй инструмент представляет собой модифицированную версию файла в формате документа, ранее использовавшегося хакерской группой «Шторм-0978». В этом документе CVE-2017-11882 используется в редакторе формул Microsoft для загрузки и установки вредоносного MSI-файла, который содержит вариант того же имплантата Rust, а также ложный счет-фактуру в формате PDF.

После того как имплант Rust запускается, он «засыпает» на 12 минут. Речь идет об известном методе, позволяющим избежать обнаружения исследователями безопасности и песочницами.

Затем имплантат собирает информацию и отправляет ее на сервер злоумышленника. Согласно сообщению в блоге Deep Instinct Threat Lab, компания не смогла приписать эти атаки какому-либо из известных злоумышленников. Однако тот факт, что оба имплантата Rust не были обнаружены при первой загрузке в VirusTotal, подтверждает, что написание вредоносного ПО на «экзотических» языках способно обойти многие решения безопасности.

Использование имплантата Rust в этой кампании важно по нескольким причинам.

Во-первых, Rust — это относительно новый язык программирования, еще не получивший широкого распространения среди авторов вредоносных программ. Из-за этого продуктам безопасности становится сложнее обнаруживать вредоносное ПО Rust.

Во-вторых, Rust — это компилируемый язык, следовательно, перед выполнением эта вредоносная программа преобразуется в машинный код, что затрудняет реверс-инжиниринг вредоносного ПО.

Deep Instinct отмечает, что Азербайджан и Армения были вовлечены в несколько конфликтов, сопровождавшихся значительным количеством кибератак. При этом важно не упускать из виду и не игнорировать недавнюю напряженность в отношениях между Азербайджаном и Ираном как одну из потенциальных причин упомянутой выше вредоносной кампании.