Šī mēneša sākumā kibernoziedznieki (cybercriminals), uzdodoties par advokātu birojiem, maldināja vairākus uzņēmumus lejupielādēt sākotnējās piekļuves ļaunatūru (Malware). Tas var tikt uzskatīts par pamatu lielākiem uzbrukumiem.
Attiecīgā grupa, kuru BlueVoyant izseko kā “Narwhal Spider” (pazīstama arī kā TA544, Storm-0302), ir labi zināma kiberpētniekiem (cyber researchers). Grupas finansiāli motivētās kampaņas aizsākās vismaz 2017. gadā. Nesen tika novērots, ka tā izmantoja vienas dienas ievainojamību (one-day vulnerability) Windows SmartScreen.
Pirms divām nedēļām – 7. martā – grupa veica savu jaunāko laupīšanu. Gandrīz tūlītēju pikšķerēšanas (phishing) uzbrukumu, izmantojot sākotnējās piekļuves ļaunatūru. Tā bija paslēpta PDF dokumentos, kuri bija noformēti kā juridiski rēķini.
Viltoti juridiskie rēķini
Katrs no Narwhal Spider e-pasta vēstulēm sākās ar ļaunprātīgu PDF failu, kas bija veidots tā, lai izskatītos kā autentisks rēķins par juridiskajiem pakalpojumiem. Failiem tika piešķirti leģitīmi šķietami nosaukumi: “Invoice_[numurs]from[juridiskās firmas nosaukums].pdf”.
Šajā kampaņā komandu un kontroles (C2 – command-and-control) nolūkā izmantotajās WordPress vietnēs bija iekļauti domēni, kas saistīti ar WikiLoader – viltīgu lejupielādes programmu, kuru Proofpoint pirmo reizi aprakstīja pagājušajā pavasarī. Starp citām pretanalīzes metodēm WikiLoader vislabāk ir pazīstams ar nelielu triku: HTTPS pieprasījuma nosūtīšanu Vikipēdijai, lai noteiktu, vai tā atrodas ar internetu savienotā ierīcē vai izolētā smilšu kastes (sandbox) vidē. Papildus tam ierīce piefiksē arī nereģistrētu domēnu un pārtrauc darbību, ja tiek saņemta derīga atbilde. Smilšu kastes bieži vien ir veidotas tā, lai neatkarīgi no pieprasījuma tiktu sniegtas derīgas atbildes, tādējādi veicinot ļaunatūras paraugu darbību.
Līdz šim WikiLoader mēdz parādīties pirms iedarbīgākas un destruktīvākas ļaunprogrammatūras. Nesenajā SmartScreen kampaņā šī ļaunatūra bija Remcos RAT, taču šie uzbrukumi ir bijuši arī vēstneši (harbingers) SystemBC RAT un Narwhal Spider vēsturiski iecienītajai ļaunatūrai – Trojas zirgam Gozi (Ursnif).
Šoreiz VirusTotal augšupielādes, kas saistītas ar šo kampaņu, liecina, ka viens no šādiem papildu payload varētu būt Trojas zirgs/lādētājs IcedID.
Ko var darīt organizācijas
Vēsturiski Narwhal Spider ir specializējies uzbrukumos Itālijas organizācijām, taču pagājušā gada beigās šī grupa sāka paplašināt savu darbību. Tas liecina, ka viņi ir tuvu tam, lai mērķētu tieši uz ASV. 7. marta uzbrukumi sasniedza arī mērķus Kanādā un Eiropā.
Ikviena organizācija, kas varētu saņemt šādus e-pasta ziņojumus, BlueVoyant iesaka pievērst uzmanību neparastiem datplūsmas modeļiem vai ārējo PDF rēķinu pieplūdumam, jo īpaši tiem, kuros faili atbilst formātam “Invoice_[numurs]from[juridiskā uzņēmuma nosaukums].pdf”.
Uzņēmumiem ir pienācīgi jāapmāca darbinieki, kā atpazīt pikšķerēšanas e-pasta vēstules.
