Spoločnosť CheckPoint spozorovala v posledných týždňoch novú vlnu ransomvérových kampaní, namierených na ciele po celom svete.
Výskumná správa identifikuje aj nástroj využívaný pre tieto aktivity – trinásť rokov starú formu zadných vrátok, trojského koňa Bandook. Tento, takmer zabudnutý trojan bol naposledy spozorovaný počas operácií z rokov 2015 a 2017. Jeho skript, napísaný v jazykoch Delphi a C++, využívali operácie Manul a Dark Caracal, za ktorými s najväčšou pravdepodobnosťou stoja kazašské a libanonské kyberšpionážne vládne štruktúry. Cieľom ich aktivít bolo odcudzenie duševného vlastníctva a interných informácií vybraných spoločností v rámci z 21 štátov. Bandook opätovne pritiahol pozornosť v priebehu minulého roka, kedy sa začali objavovať nové verzie tejto pôvodne komoditnej rodiny malvérov.
Paleta cieľov tohto malvéru je vskutku pestrá. Medzi zasiahnuté sektory patrili doposiaľ vládne zložky, ekonomická a energetická sféra, oblasť zdravotníctva či informačných technológií. Útočil taktiež v rôznych častiach sveta – medzi napadnuté krajiny patria Čile, Cyprus, Nemecko, Indonézia, Taliansko, Singapur, Švajčiarsko, Turecko a USA. Bandook ako typický trojský kôň nesie štandardné vlastnosti zadných vrátok – prevezme vzdialenú kontrolu nad serverom a následne preberie pokyny od hlavného servera. Tie môžu mať napríklad podobu vytvárania snímok obrazovky či vykonávania rôznorodých operácií v súboroch napadnutého zariadenia. Proces nákazy sa skladá z troch fáz.
Prvotným impulzom je vypustenie návnady v podobe dokumentu, ktorý vďaka svojmu názvu vyzerá pomerne dôveryhodne (napríklad „Certifikovaný dokument.docx“). V momente, keď dôjde k otvoreniu súboru, sú do zariadenia pomocou externej šablóny stiahnuté škodlivé makrá. Externé šablóny, napríklad TinyURL či Bitly, nie sú pre obeť viditeľné, ich jedinou úlohou je len umožniť makrám prístup. Témou dokumentov sú často cloudové služby ako Office 365, OneDrive a Azure, obsahujúce obrázky iných dokumentov, zdanlivo k dispozícii po zvolení možnosti „Povoliť obsah“. Makrá následne spustia druhý stupeň útoku – PowerShellový skript, po celý čas zašifrovaný vo vnútri pôvodného Word dokumentu.
PowerShell stiahne ZIP súbor so štyrmi lokálne extrahovanými súbormi z cloudových úložísk (Dropbox, Bitbucket, S3 bucket). Súbor sa uloží do verejného priečinku používateľa. V poslednej fáze útoku skript stiahne a spustí zadné vrátka, trojského koňa Bandook. Všetky predchádzajúce zložky z verejnej zložky používateľa sú zároveň vymazané. V tomto bode má RAT plný prístup do nového procesu prehliadača Internet Explorer a spustí škodlivé užitočné zaťaženie. To následne zašle C&C serveru základné informácie o nakazenom zariadení a počká na jeho dodatočné príkazy. Nový variant Bandook je oproti svojmu starému vydaniu „zoštíhlený“ na 11 príkazov, oproti pôvodným 120.
Táto úprava vznikla pravdepodobne s cieľom zanechať po malvére čo najmenej stôp a zabrániť možnému odhaleniu. Redukcia Bandooka môže takisto indikovať následné zavedenie a stiahnutie ďalšieho, plnohodnotnejšieho malvéru. Ďalšou novinkou je v malvéri je použitá certifikácia. Podľa výskumníkov z CheckPoint sa na základe širokého zacielenia útokov a súbežného použitia tej istej malvérovej infraštruktúry rôznymi tímami potvrdila dlhodobá hypotéza: Tento malvér nie je interne rozvíjaný a využívaný jedinou entitou, ale naopak, je súčasťou veľkej, ofenzívnej infraštruktúry, hostiacej rôzne populárne stratégie kybernetickej špionáže.
Na signalizáciu spustiteľného škodlivého softvéru tak nie sú používané iba platne certifikáty vydané spoločnosťou Certum, ale aj ich komplexné, digitálne podpísané a nepodpísané varianty, pravdepodobne prevádzkované a predávané jedným subjektom – treťou stranou. Prostredníctvom týchto tretích strán sa malvér dostáva k vládam či iným potenciálne škodlivým subjektom a uľahčuje tak uskutočňovanie kybernetických útokov. Tím, ktorý pri útokoch riadi danú infraštruktúru, sa v priebehu času zdokonalil a zahrnul do svojich štruktúr aj rôzne vrstvy zabezpečenia, ktoré majú znížiť pravdepodobnosť jeho odhalenia.
Zdroj: CS
