Шпионский троян использует для работы серверы «Яндекс» и Twitter

Документы с вложением Эксперты компании Talos заявили, что облачные сервисы «Яндекса» и Twitter используются для хостинга вредоносных командных серверов и передачи данных недавно обнаруженной вредоносной программой Rokrat, используемой в шпионских целях. Как поясняется в публикации Talos, Rokrat представляет собой вредоносный инструмент удаленного администрирования (Remote Administration Tool - RAT), который используется в новой кампании, направленной против пользователей из Южной Кореи. Атака на пользователей начинается с рассылки фишинговых писем с вложенными документами в формате HWP. Это формат крайне популярного в Южной Корее текстового редактора Hangul, поддерживающего корейский алфавит. HWP-документ содержал встроенный объект EPS (Encapsulated PostScript) с эксплойтом для известной уязвимости CVE-2013-0808, которая, в свою очередь, используется для загрузки двоичного файла, имитирующего изображение в формате jpg. Этот исполняемый файл и является RAT-инструментом. Windows XP и системы виртуализации Rokrat уходит в «спящий» режим, если оказывается в среде Windows XP. Кроме того, он целенаправленно ищет в системе процессы, связанные с системами виртуализации и мониторинга. Если Rokrat обнаруживает один из этих процессов, или подвергается воздействию программ отладки, или запущен не из-под HWP-документа, он начинает генерировать большое количество «пустого» HTTP-трафика к Amazon и Hulu, очевидно, чтобы сбить с толку исследователей и сформировать фальшивые индикаторы заражения. Для чего трояну инфраструктура «Яндекса» и Twitter Rokrat способен делать снимки экрана и оснащен функциями кейлоггера. Для связи зараженных ПК с командной инфраструктурой Rokrat использует ресурсы известных глобальных сервисов. В частности, исследователи Talos обнаружили семь «зашитых» в код трояна API-токенов Twitter, четыре токена «Яндекса» и один аккаунт хостингового сервиса Mediafire. Twitter используется для хостинга командного сервера и получения Rokrat команд от своих операторов. Серверы Яндекс и Mediafire - как для хостинга командных серверов, так и для передачи данных. Как указывают эксперты Talos, использование этих сервисов чрезвычайно затрудняют блокировку, - это легитимные и очень популярные платформы, хотя, конечно, обращение из Южной Кореи к «Яндексу» - довольно странное явление. Представители «Яндекса» в течение 21 часа не смогли ответить на вопросы CNews, связанные с использованием их инфраструктуры для работы Rokrat. »Первейшая задача любого шпиона - оставаться незамеченным насколько возможно долго. Это же касается и кибершпионов и их инструментов. Функции, обеспечивающие скрытность Rokrat, указывает на высокую мотивацию и если не высокий профессионализм, то, по крайней мере, повышенную изобретательность его создателей, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - В данном случае весьма настораживает тот факт, что киберпреступники столь успешно используют легитимные платформы для сокрытия управляющих серверов и передачи украденных данных». Ссылка на источник