В марте 2024 года специалисты компании «Доктор Веб» провели расследование неудавшейся целевой кибератаки на крупного российского оператора грузовых железнодорожных перевозок. Анализ выявил использование злоумышленниками сложной многоступенчатой схемы проникновения, включающей эксплуатацию ранее неизвестной уязвимости в популярном Яндекс Браузере.
Анатомия целевой атаки: от фишинга до эксплуатации уязвимости
Атака началась с классического фишингового письма, замаскированного под резюме соискателя. Вложенный архив содержал файл с двойным расширением .pdf.lnk, что позволило злоумышленникам незаметно запустить PowerShell и загрузить вредоносные скрипты. Этот метод социальной инженерии демонстрирует высокий уровень подготовки атакующих и их осведомленность о бизнес-процессах целевой организации.
Первый этап: развертывание модульного трояна
Исследователи обнаружили, что первый пейлоад содержал троян Trojan.Packed2.46324, маскирующийся под компонент обновления Яндекс Браузера. После проверки на отсутствие средств анализа, троян распаковывал более сложную малварь Trojan.Siggen28.53599 с возможностями удаленного управления, сбора системной информации и загрузки дополнительных модулей.
Второй этап: эксплуатация уязвимости Яндекс Браузера
Особый интерес представляет второй пейлоад, содержащий троян Trojan.Siggen27.11306. Эта вредоносная программа использовала уязвимость в механизме поиска DLL-библиотек Яндекс Браузера (DLL Search Order Hijacking). Троян сохранялся в папке установки браузера под именем Wldp.dll, перехватывая запросы к легитимной системной библиотеке.
Механизм закрепления в системе и противодействие обнаружению
После запуска браузера вредоносная Wldp.dll расшифровывала встроенную полезную нагрузку в два этапа, используя сложную систему ключей. Результатом становился шелл-код, запускающий .NET-приложение для загрузки дополнительной малвари. Такой многоуровневый подход значительно усложняет обнаружение и анализ вредоносного ПО.
Стоит отметить высокий уровень противодействия анализу: троян обладал функциями обнаружения антивирусов, виртуальных машин и отладчиков, при выявлении которых производил самоуничтожение, затирая свои следы в системе.
Реакция на обнаружение уязвимости и меры по устранению
После обнаружения эксплуатации уязвимости, информация была передана разработчикам Яндекс Браузера. Оперативная реакция привела к выпуску обновления версии 24.7.1.380, закрывающего выявленную брешь в безопасности. Уязвимости был присвоен идентификатор CVE-2024-6473.
Данный инцидент подчеркивает критическую важность своевременного обновления программного обеспечения и комплексного подхода к кибербезопасности. Организациям рекомендуется усилить меры по обучению сотрудников распознаванию фишинговых атак, регулярно проводить аудит безопасности и внедрять многоуровневые системы защиты, способные противостоять сложным целевым атакам. Только комбинация технических средств, грамотных процессов и повышения осведомленности персонала может обеспечить эффективную защиту от современных киберугроз.