Поддельный сканер Pegasus от Amnesty International, используемый для заражения Windows

28
Microsoft: срок действия старых обновлений Windows истекает, чтобы повысить скорость и безопасность

Злоумышленники пытаются извлечь выгоду из недавних разоблачений шпионского ПО Pegasus от Amnesty International, чтобы отказаться от менее известного средства удаленного доступа под названием Sarwent.

Вредоносная программа выглядит и действует как часть законного антивирусного решения, специально созданного для сканирования системы на наличие следов Pegasus и их удаления.

Антивирусный взгляд с укусом КРЫСЫ

Атаки на основе Sarwent проводятся по крайней мере с начала года, в январе, и нацелены на различные профили жертв в нескольких странах.

Приманка, использованная в прошлых кампаниях, на данный момент не ясна, но исследователи из Cisco Talos недавно обнаружили новую атаку, когда Sarwent был доставлен через поддельный веб-сайт Amnesty International, рекламирующий Anti-Pegasus AV.

Злоумышленник попытался придать вредоносной программе вид легального антивируса, создав соответствующий графический интерфейс пользователя.

Выбор этой маскировки указывает на то, что актер пытается обмануть пользователей, обеспокоенных шпионским ПО Pegasus, заражающим их устройства.

Неясно, как этот субъект заманивает посетителей на поддельный веб-сайт Amnesty International, но анализ доменов в этой кампании «показывает, что к первоначальным доменам обращаются по всему миру», хотя нет никаких признаков крупномасштабной кампании.

«Глядя на объем доменов C2 [управление и контроль], мы можем увидеть гораздо более узкое распределение по странам с еще меньшим объемом», — отмечают исследователи в отчете Today.

На основании данных с панели администрирования сервера Sarwent Command and Control (C2), активного во время расследования, вредоносная программа достигла в основном пользователей в Великобритании.

Исследователи с высокой степенью уверенности оценивают ответственность русскоязычного человека за недавние атаки Sarwent. Они также обнаружили, что похожий бэкэнд используется с 2014 года, что позволяет предположить, что либо вредоносная программа намного старше, чем предполагалось изначально, либо ее ранее использовал другой субъект.

Сарвент написан в Дельфах, и это не частая встреча в дикой природе. Он имеет функции, которые обычно присутствуют в средстве удаленного доступа (RAT), предоставляя оператору доступ к зараженной машине.

Он обеспечивает прямой доступ к машине путем активации протокола удаленного рабочего стола (RDP) или через систему виртуальных сетевых вычислений (VNC). Однако другие методы существуют через его оболочку и возможности выполнения PowerShell.

Исследователи Cisco Talos считают, что графический пользовательский интерфейс, маскирующий Sarwent под антивирусное решение, указывает на то, что злоумышленник, стоящий за ним, имеет доступ к исходному коду вредоносного ПО.

«Этот уровень знакомства также подтверждает наши более ранние выводы о том, что злоумышленник использовал вредоносное ПО Sarwent с 2014 года. Этот доступ особенно интересен, учитывая, что мы не смогли найти никого, кто продавал бы доступ или сборщики для этого вредоносного ПО» — Cisco Talos

Помимо создания поддельных копий веб-сайта Amnesty International, оператор Sarwent также зарегистрировал следующие домены, чтобы выдать себя за организацию:

  • amnestyinternationalantipegasus [.] com
  • amnestyvspegasus [.] com 
  • antipegasusamnesty [.] com

Основываясь на собранных доказательствах, исследователи не могут классифицировать исполнителя угрозы Sarwent. На первый взгляд кажется, что они ищут легких денег.

Однако некоторые результаты позволяют предположить, что противник более продвинутый, у которого нет финансовой мотивации. Среди ключей, подтверждающих эту теорию, — небольшое количество жертв и уровень настройки кампании.

Другой намек относится к деталям регистрации домена (имя, адреса электронной почты, почтовые адреса), которые, по всей видимости, указывают на оператора вредоносной программы. Предоставление этой информации может быть преднамеренным, чтобы сбить с толку следователей.

 

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here