Троянец MSUpdater используется для атаки на госсектор

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 1 фев 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    ИТ-компании Zscaler и Seculert одновременно сообщили об обнаружении новой хакерской кампании, направленной на пользователей из среды госсектора и компаний, работающих с госсектором. Согласно предоставленным компаниями данным, атакующие отправляют целевым получателям из указанных сфер спам-письма, выполненные под видом приглашений на различные конференции. Часто приглашения были размещены в PDF-файлах. Очевидно, что в приложенных файлах содержался вредоносный код, рассчитанный на использование уязвимостей в Adobe Reader.

    Компании называют провоцируемый в результате открытия для загрузки файл троянцем MSUpdater, так как тот симулирует сообщение от системы обновления Windows Update. Однако в реальности троянец похищает данные пользователей, а также широкий спектр хранимых на компьютере документов.

    С учетом того, что обнаруженная атака носит целевой характер, атакующие явно заинтересованы в получении файлов, хранящихся на компьютерах работников американского госсектора и компаний, с ним связанных. Ни Zscaler ни Seculert конкретных названий пострадавших компаний не разглашают. Технический директор Seculert Авив Рафф, полагает, что за данной атакой стоят так называемые "государственные хакеры", так как обычные злоумышленники вряд ли станут охотиться за гостайнами, предпочитая банально воровать номера кредиток пользователей и реквизитов систем онлайн-банкинга.

    Обе компании говорят, что уязвимость в Reader, эксплуатируемая в этой атаке, была закрыта Adobe около года назад, поэтому хакеры, судя по всему, надеялись на нерасторопность ИТ-администраторов соответствующих ведомств.

    Что привлекает внимание в этой атаке, говорят компании, так это дополнительная шифровка исходящего от троянца трафика. Это говорит о том, что хакеры не исключали возможности обнаружения троянца со стороны пользователей, однако чтобы последним было труднее отследить коммандный сервер, на который троянец передавал ворованные данные, зашифровали трафик. В Zcaler говорят, что троянец во время работы создавал вокруг себя виртуальную машину в миниатюре, которая должна была гарантировать защиту получателям краденных данных.



    источник
     
    2 пользователям это понравилось.
  2. Саныч
    Оффлайн

    Саныч Активный пользователь

    Сообщения:
    869
    Симпатии:
    1.697
    MSUpdater: таргетированная атака на инженеров и учёных

    Авторы вредоносных программ атакуют не только простых обывателей, но и птиц высокого полёта: сотрудников научных и государственных учреждений США. Такой вывод можно сделать из совместного отчёта Zscaler и Seculert (PDF). Эти две компании независимо друг от друга зафиксировали ряд инцидентов с попытками распространения программы, которую назвали MSUpdater.

    MSUpdater представляет собой инструмент класса RAT — средство удалённого администрирования, которое пытались установить злоумышленники. Подобные инциденты начали регистрировать в 2009 году, и они продолжаются до сих пор.

    Чтобы установить MSUpdater на компьютер жертвы, злоумышленники рассылают по электронной почте PDF-файл. В документе содержится приглашение посетить научную конференцию. Тематика конференции отличается, в зависимости от специализации жертвы: инженерная конференция IEEE, форум по мирному развитию Ирака, конференция по умным сенсорам, сенсорным сетям и информационной обработке (ISSNIP) и так далее.

    [​IMG]

    При открытии PDF-файла активируется эксплоит, который использует уязвимость в программах Adobe (например, уязвимость нулевого дня CVE-2010-2883), после чего запускается процесс GoogleTray.exe и с удалённого сервера mail.hfmforum.com/microsoftupdate/getupdate/default.aspx на компьютер устанавливается ряд программ, поддерживающих связь с командным центром (C&C) по HTTP в зашифрованном виде.

    Для маскировки программы под Microsoft Windows Update файл называется msupdate.exe, а также используются соответствующие пути HTTP для командного сервера (например, /microsoftupdate/getupdate/default.aspx). Например, команды могли передаваться в виде запроса HTTP GET такого вида:

    /microsoftupdate/getupdate/default.aspx?ID=[num1]para1=[num2]para2=[num3]para3=[num4]

    Здесь параметры передаются в полях [num].

    Запросы HTTP GET и POST могли иметь и такой вид:

    /microsoft/errorpost/default/connect.aspx?ID=[num1]

    /

    microsoft/errorpost/default.aspx?ID=[num1]

    При коммуникации по HTTP с командным сервером используются заголовки юзер-агента браузеров Internet Explorer 6, 7 и 8. Исходя из всех этих причин, троянская программа и получила название MSUpdater.


    источник
     

Поделиться этой страницей