BackDoor.Hser.1 атакує російські оборонні підприємства

Фахівці компанії «Доктор Веб» досліджували зразок нової шкідливої ​​програми, здатної виконувати надходять від зловмисників команди і викрадати різну інформацію на інфікованих пристроях. 

  Примітно, що даний троянець поширювався кіберзлочинцями в ході таргетированной атаки, спрямованої на один з великих російських концернів, до складу якого входять численні підприємства переважно оборонного профілю.

Троянець-бекдор, який отримав найменування BackDoor.Hser.1, поширювався за допомогою цільової поштової розсилки на особисті і службові електронні адреси співробітників більше десяти підприємств, що входять до складу відомого російського концерну, причому всі ці підприємства мають оборонний профіль або обслуговують інтереси військово-промислового комплексу . Лист був відправлений нібито від імені співробітника головної організації холдингу і мало заголовок «Доповнення до термінового дорученням від 30.03.15 № УТ-103». У тексті повідомлення одержувачу пропонувалося ознайомитися з номенклатурою якогось обладнання, а у вкладенні зловмисники розмістили файл табличного редактора Microsoft Excel з ім’ям Копія обладнання 2015.xls. 

  Вкладений в повідомлення файл містить експлойт, що використовує уразливість CVE2012-0158 в деяких версіях табличного редактора Microsoft Excel. При спробі відкриття даного файлу на комп’ютері, що атакується запускається процес excel.exe, в який вбудовується дроппер троянця.

Дроппер розпаковує зі свого тіла бекдор BackDoor.Hser.1 і зберігає його на диск під ім’ям npkim.dll в папку C: \ Windows \ Tasks \, реєструє дану бібліотеку в параметрах автозавантаження Windows і запускає командний інтерпретатор cmd.exe для видалення файлу процесу, в який він був вбудований.

Після свого запуску на інфікованому комп’ютері BackDoor.Hser.1 розшифровує зберігається в його тілі адресу керуючого сервера і встановлює з ним з’єднання. Троянець відправляє в належить зловмисникам командний центр інформацію про атакованому ПК (IP-адреса комп’ютера, його ім’я, версію операційної системи, наявність в мережі проксі-сервера), після чого очікує надходження команд від зловмисників. Серед іншого, шкідлива програма здатна по команді передавати на віддалений сервер список активних процесів на зараженому ПК, завантажити і запустити інше шкідливий додаток, а також відкрити командний консоль і виконати перенаправлення вводу-виводу на приналежний кіберзлочинцям сервер, завдяки чому зловмисники отримують можливість дистанційного керування інфікованим комп’ютером.

Сигнатура троянця BackDoor.Hser.1 додана в вірусну базу Dr.Web, і тому ця шкідлива програма більш не представляє небезпеки для користувачів антивірусних продуктів компанії «Доктор Веб».

Ссылка на основную публикацию