Cremes — новое продвинутое вредоносное ПО для кибершпионажа
Выводы наших специалистов совпали с выводами компании Symantec, которые опубликовали свой отчет, посвященный исследованию Cremes (Remsec). По своей сложности новое вредоносное ПО напоминает уже известное ранее кибероружие, такое как Flame, Regin и EvilBunny. С Flame и EvilBunny, Cremes роднит использование скриптов на языке Lua. Новая кибергруппировка получила название Strider и использовала Cremes для кражи ценной информации у своих жертв.
Согласно данным Symantec, кибергруппа Strider была активна как минимум с октября 2011 г. и специализировалась на кибератаках различных государственных учреждений в России, Китае, Швеции и Бельгии. Отличительной особенностью Strider является жесткая ориентированность на конкретные и интересные для атакующих цели, зачастую в кибератаках использовались уникальные образцы вредоносного ПО.
Cremes представляет из себя настоящую платформу для кибершпионажа, которая использует модульную архитектуру, что дает гибкие возможности в компрометации своих жертв, как и в случае с Flame или Regin. Кроме кражи важной информации с компьютеров жертв, Cremes исполняет важную функцию бэкдора, предоставляя атакующим возможности получения доступа и отправки команд боту на зараженной машине. Cremes использует в своей работе скрипты на языке Lua, данная возможность ранее наблюдалась у Flame (Fiveeyes, Equation) и EvilBunny (Snowglobe, Animal Farm). Также Cremes использует в своей работе механизмы компрометации изолированных air-gapped сетей, что мы наблюдали ранее в использовании хакерской группой Sednit (APT28, Fancy Bear, Pawn Storm).
Согласно информации Symantec, Cremes включает в себя следующие компоненты.
- Специальный загрузчик с названием файла MSAOSSPC.DLL, который отвечает за загрузку файлов с диска и их исполнение в системе. Файлы полезной нагрузки хранятся на диске в зашифрованном виде.
- Lua модули, которые используются вредоносным ПО для выполнения некоторых своих задач, включая следующие.
- Сетевой загрузчик, специализирующийся на загрузке из сети исполняемых файлов и запуске их на исполнение. Для этого может использоваться шифрование RSA/RC6.
- Загрузчик хоста, который используется для расшифровки и загрузки как минимум трех других Lua модулей в запущенные процессы. Названия этих модулей следующие: ilpsend, updater, kblog (кейлоггер).
- Кейлоггер, использующийся для получения информации о нажатых пользователем клавишах и передаче этой информации на управляющий сервер атакующих. Этот модуль содержит строку «Sauron» в своем коде. Учитывая его возможности, можно предположить, что авторы назвали этот модуль в честь всевидящего ока из Властелина Колец.
- Сетевой имплант, который отвечает за прослушивание сетевых подключений по протоколам, включая, ICMP, PCAP и RAW.
- Простой бэкдор на основе именованного канала, который используется для контроля через именованные каналы и может исполнять передаваемые ему файлы.
- Расширенный бэкдор на основе именованного канала, который, в отличие от своего предшественника, способен также принимать другие команды на модификацию файлов.
- HTTP бэкдор, который включает несколько URL-адресов управляющих C&C-серверов.
Для запуска своего кода в режиме ядра, компоненты Cremes могут использовать нестандартный подход, который заключается в использовании уязвимостей в устаревших легитимных драйверах Agnitum Outpost и AVAST. Драйверы находятся в компонентах Cremes.
Рис. Информация о легитимном драйвере Agnitum Outpost, который используется Cremes.
Антивирусные продукты ESET обнаруживают вредоносное ПО кибергруппы Strider под универсальными сигнатурами:
Win32/Cremes www.virusradar.com/en/Win32_Cremes/detail
Win64/Cremes www.virusradar.com/en/Win64_Cremes/detail