Новая группировка — оператор опасного ВПО, которую исследователи назвали Dark River, целенаправленно атакует предприятия российского оборонного комплекса, инвестируя серьезные финансовые и интеллектуальные ресурсы в развитие своего инструментария. Проработанные на высоком уровне архитектура и транспортная система позволяют бэкдору незаметно действовать в скомпрометированной инфраструктуре в течение долгого времени с целью шпионажа и кражи конфиденциальной информации.
Специалисты PT Expert Security Center (PT ESC) впервые подробно исследовали внутреннее устройство и механизмы работы сложного модульного бэкдора MataDoor, обнаруженного при расследовании инцидента в прошлом году. Dark River тщательно подходит к выбору своих жертв и действует точечно. В настоящее время известно несколько случаев применения MataDoor в кибератаках, все они были нацелены на крупные организации, связанные с оборонно-промышленным комплексом. Бэкдор хорошо маскируется: имена его исполняемых файлов похожи на названия легального ПО, установленного на зараженных устройствах, а ряд образцов имеет действительную цифровую подпись. Чтобы максимально усложнить обнаружение зловреда, его разработчики использовали различные виды утилит-упаковщиков, скрывающих вредоносный код.
«Главная особенность бэкдора MataDoor в том, что он имеет сложную архитектуру, — подчеркнул Максим Андреев, старший специалист отдела исследования угроз ИБ Positive Technologies. — Анализ кода показывает, что в разработку этого инструмента были вложены серьезные ресурсы. Это хорошо продуманный вредонос с глубокой индивидуальной разработкой в плане транспорта, скрытности и архитектуры. Группировка не стала использовать коробочные решения, многие протоколы намеренно реализованы разработчиком самостоятельно. Большая и сложная транспортная система позволяет гибко настраивать коммуникацию с командой оператора, с сервером, чтобы оставаться скрытым и незамеченным. Это вредоносное ПО может действовать даже в логически изолированных сетях, вытаскивать и передавать данные откуда угодно».
Исследователи считают, что внедрение бэкдора начинается с фишингового письма, к которому злоумышленники прикрепляют документ в формате DOCX, посвященный сфере деятельности атакованного предприятия. Особенность бэкдора заключается в том, что он побуждает получателя включить режим редактирования документа — просто открыть вложение недостаточно. Это является необходимым условием для отработки эксплойта. Похожие письма, содержащие документы с эксплойтами для уязвимости CVE-2021-40444, рассылались на российские предприятия ОПК в августе-сентябре 2022 года. Например, злоумышленники намеренно использовали в тексте документа неконтрастный шрифт. Чтобы его прочитать, пользователь менял цвет шрифта, запуская режим редактирования. Одновременно с этим происходила загрузка и выполнение вредоносной полезной нагрузки с контролируемого киберпреступниками ресурса.
Для защиты корпоративных систем от внедрения бэкдора MataDoor эксперты Positive Technologies рекомендуют принимать проактивные меры. Использовать песочницу PT Sandbox, позволяющую выявлять даже такое сложное ВПО с помощью анализа поведения файлов в виртуальной среде. А также систему поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), которая обнаружит присутствие злоумышленника в защищаемой инфраструктуре благодаря индикаторам компрометации. Dark River применяет почтовый фишинг, поэтому специалисты советуют придерживаться стандартных правил кибергигиены: осторожнее относиться к входящим электронным письмам, сообщениям в мессенджерах и социальных сетях, не переходить по сомнительным ссылкам и не открывать подозрительные вложения. Поскольку в некоторых атаках киберпреступники использовали взломанные почтовые ящики, необходимо учесть, что они могут прибегнуть к социальной инженерии. В связи с этим стоит также тщательно оценивать следующие аспекты: есть ли в письме нетипичные для переписок в вашей компании вложения, верна ли подпись, мог ли вам написать отправитель и насколько его вопрос в ваших компетенциях.