WinDealer через man-on-the-side | Блог Касперского

APT-группировка LuoYu распространяет и контролирует вредоносное ПО WinDealer при помощи атаки man-on-the-side.

Эксперты «Лаборатории Касперского» тщательно исследовали вредоносное ПО WinDealer, созданное APT- группировкой LuoYu. Самая интересная находка заключается в том, что злоумышленники, по всей видимости, освоили метод атаки man-on-the-side и успешно применяют его как для доставки зловреда, так и для связи командных серверов с уже зараженными компьютерами.

Что такое атака man-on-the-side и для чего она используется авторами WinDealer

Атака типа man-on-the-side подразумевает, что злоумышленник каким-то образом частично контролирует канал связи, что позволяет ему читать передаваемую информацию и внедрять собственную в чужой обмен данными.

На практике это может применяться следующим образом: злоумышленники перехватывают запрос на обновление совершенно легитимной программы и подсовывают ей вместо настоящего файла измененный, содержащий зловред. Именно так, по всей видимости, WinDealer чаще всего и распространяется.

Похожую уловку злоумышленники используют и для обеспечения безопасного процесса управления зараженным компьютером. Чтобы экспертам было сложнее вычислить командный сервер, в зловреде не прописан его точный адрес. Вместо этого он обращается к случайному IP-адресу из определенного диапазона, а атакующие перехватывают запрос и отвечают на него. В отдельных случаях WinDealer пытается обращаться по адресу, который в принципе не может существовать, но благодаря методу man-on-the-side получает ответ.

По мнению наших экспертов, для того чтобы этот трюк можно было успешно провернуть атакующим необходим постоянный доступ к роутерам целой подсети, или же к каким-то продвинутым инструментам на уровне интернет-провайдеров.

За кем охотится WinDealer

Подавляющее большинство целей WinDealer находятся в Китае: это иностранные дипломатические организации, члены академического сообщества, или компании задействованные в оборонном, логистическом или телекоммуникационном бизнесе. Впрочем, иногда заражения инструментами APT-группировки LuoYu регистрируются и в других странах: Германии, Австрии, США, Чешской республике, России и Индии. В последние месяцы они также стали интересоваться другими странами восточной Азии и их китайскими представительствами.

Чем опасен WinDealer

Подробный технический анализ как самого зловреда, так и методов его доставки можно найти в посте на сайте Securelist. Вкратце, WinDealer обладает функциональностью современного шпионского ПО. Он умеет:

• Манипулировать файлами и файловой системой (открывать, записывать и удалять файлы, cобирать данные о директориях и диске);
• Собирать информацию об аппаратном обеспечении, сетевой конфигурации, процессах, раскладке клавиатур, установленных приложениях;
• Скачивать и закачивать произвольные файлы;
• Исполнять произвольные команды;
• Проводить поиск по текстовым файлам и документам MS Office;
• Делать снимки рабочего стола;
• Сканировать локальную сеть;
• Поддерживать функцию бэкдора;
• Собирать данные о доступных сетях Wi-Fi (как минимум в одном из обнаруженных нашими экспертами вариантах зловреда).

Как оставаться в безопасности

К сожалению, от атак типа man-on-the-side крайне сложно защититься на сетевом уровне. В теории может помочь постоянная связь через VPN, однако она доступна не везде.  Поэтому для того, чтобы исключить заражение шпионским ПО, необходимо чтобы каждое устройство, имеющее доступ к интернету, было обеспечено надежным защитным продуктом. Кроме того, решения класса EDR могут помочь выявить аномалии и остановить атаку на раннем этапе.

07.06.2022