Фахівці з кібербезпеки компанії “Доктор Веб” провели детальний аналіз спроби цільової атаки на великого російського оператора вантажних залізничних перевезень. В ході дослідження було виявлено складний ланцюжок зараження, що включав фішингове повідомлення, шкідливі скрипти та експлуатацію раніше невідомої уразливості в Яндекс Браузері.
Анатомія атаки: від фішингу до експлойту
Атака розпочалася з фішингового листа, замаскованого під резюме кандидата на роботу. Вкладений архів містив файл з подвійним розширенням .pdf.lnk, який при відкритті запускав PowerShell для завантаження двох шкідливих скриптів. Перший скрипт встановлював троян Trojan.Siggen28.53599, здатний до віддаленого управління та збору системної інформації. Другий скрипт розгортав троян Trojan.Siggen27.11306, який експлуатував уразливість в Яндекс Браузері.
Експлуатація уразливості в Яндекс Браузері
Особливий інтерес представляє спосіб закріплення шкідливого ПЗ в системі через уразливість Яндекс Браузера. Троян зберігався у прихованій папці браузера під іменем Wldp.dll, використовуючи техніку перехоплення порядку пошуку DLL. Це дозволяло малварі завантажуватися першою при запуску браузера, отримуючи всі його привілеї та доступ до мережі.
Технічні деталі та механізми захисту
Шкідлива бібліотека Wldp.dll містила зашифровану корисне навантаження, яке розшифровувалося у два етапи. Спочатку використовувався ключ на основі хешу шляху розташування DLL, а потім – глобальний ключ з тіла трояна. Результатом ставав шелл-код, який запускав .NET-додаток для завантаження додаткової малварі з мережі.
Протидія виявленню та аналізу
Зловмисники вжили заходів для ускладнення виявлення та аналізу шкідливого ПЗ. Троян Trojan.Siggen28.53599 мав функції протидії відладці, самознищення при виявленні процесів антивірусів та віртуальних машин. Це підкреслює високий рівень підготовки атакуючих та цільовий характер операції.
Після виявлення уразливості в Яндекс Браузері, інформація була передана розробникам. У результаті було випущено оновлення версії 24.7.1.380, яке закрило виявлену вразливість (CVE-2024-6473). Цей інцидент демонструє важливість своєчасного оновлення програмного забезпечення та пильності користувачів щодо фішингових атак. Організаціям рекомендується посилити заходи з навчання персоналу, впровадити багатофакторну автентифікацію та регулярно проводити аудит безпеки для мінімізації ризиків подібних цільових атак.