KillDisk атакует украинских пользователей

Компания ESET — лидер в области проактивного обнаружения — сообщает о проведении ряда кибератак, жертвами которых стали значимые цели в Украине. По мнению специалистов ESET, главная цель хакеров — планомерное осуществление диверсий в украинском киберпространстве.


Для заражения компьютеров жертв хакеры используют фишинговые электронные письма с документами Excel, которые содержат вредоносные макросы. В случае открытия вложения пользователь запускает троян-загрузчик, который, в свою очередь, загружает основной фрагмент вредоносной программы — бэкдор Python/TeleBot.AA.

Для связи с бэкдором Python/TeleBot киберпреступники используют текстовые боты Telegram Bot API с платформы обмена сообщениями Telegram Messenger. Схема позволяет управлять зараженным компьютером с любого устройства, на котором установлено приложение Telegram, при помощи текстовых команд. Специалисты ESET уже сообщили Telegram о несанкционированном использовании их коммуникационной платформы.

После успешного заражения сети компьютеров злоумышленники используют вредоносные скрипты для кражи паролей, в частности инструменты для сбора паролей, сохраненных в браузерах, вывод на экран учетных данных Windows, считывания нажатий клавиш на клавиатуре и другие вредоносные программы. Киберпреступники также разворачивают дополнительные бэкдоры для доступа к зараженной сети на случай, если основной бэкдор Python/TeleBot будет обнаружен и удален.

На заключительном этапе атаки злоумышленники применяют компонент KillDisk. Предыдущая его версия была использована в атаках на медиа-компании в ноябре 2015 и на энергетические компании Украины в декабре 2015 года (атака BlackEnergy). Основной целью KillDisk является удаление важных системных файлов и повреждение системы. Эта версия KillDisk фокусируется на уничтожении файлов со следующими расширениями:

  • .kdbx .bak .back .dr .bkf .cfg .fdb .mdb .accdb .gdb .wdb .csv .sdf .myd .dbf .sql .edb .mdf .ib .db3 .db4 .accdc .mdbx .sl3 .sqlite3 .nsn .dbc .dbx .sdb .ibz .sqlite .pyc .dwg .3ds .ai .conf .my .ost .pst .mkv .mp3 .wav .oda .sh .py .ps .ps1 .php .aspx .asp .rb .js .git .mdf .pdf .djvu .doc .docx .xls .xlsx .jar .ppt .pptx .rtf .vsd .vsdx .jpeg .jpg .png .tiff .msi .zip .rar .7z .tar .gz .eml .mail .ml .ova .vmdk .vhd .vmem .vdi .vhdx .vmx .ovf .vmc .vmfx .vmxf .hdd .vbox .vcb .vmsd .vfd .pvi .hdd .bin .avhd .vsv . iso .nrg .disk .hdd .pmf .vmdk и .xvd.

Дату и время активизации установленного на зараженном компьютере KillDisk киберпреступники контролируют дистанционно при помощи текстовых команд, отправляемых через приложение Telegram.

В связи с угрозой дальнейшего распространения вредоносного программного обеспечения группы TeleBots специалисты ESET настоятельно рекомендуют пользователям соблюдать правила безопасности при работе в Интернете, в частности не открывать подозрительные файлы и ссылки в письмах от неизвестных пользователей, а также использовать надежные решения для защиты своих компьютеров и мобильных устройств.

Подробная информация об угрозе Python/TeleBot доступна на официальном блоге ESET — www.welivesecurity.com (перевод доступен по ссылке).

Индификаторы угрозы

ESET обнаруживает угрозу Python/TeleBot со следующими названиями сигнатур:
VBA/TrojanDropper.Agent.SD trojan
Win32/TrojanDownloader.Agent.CWY trojan
Python/TeleBot.AA trojan
Python/Agent.Q trojan
Python/Agent.AE trojan
Python/Agent.AD trojan
VBS/Agent.AQ trojan
VBS/Agent.AO trojan
VBS/Agent.AP trojan
Win32/HackTool.NetHacker.N trojan
Win32/HackTool.NetHacker.O trojan
Win32/PSW.Agent.OCO trojan
Win64/Riskware.Mimikatz.H application
Win32/RiskWare.Mimikatz.I application
Win32/PSW.Delf.OQU trojan
Win32/PSW.Agent.OCP trojan
Win64/Spy.KeyLogger.G trojan
Win32/KillDisk.NBH trojan
Win32/KillDisk.NBI trojan

Командные серверы (C&C):
93.190.137.212
95.141.37.3
80.233.134.147

Легитимные серверы, которые несанкционированно использовали хакеры:
srv70.putdrive.com (IP: 188.165.14.185)
api.telegram.org (IP: 149.154.167.200, 149.154.167.197, 149.154.167.198, 149.154.167.199)
smtp-mail.outlook.com (IP: 65.55.176.126)

XLS документы с вредоносным макросом SHA-1:
7FC462F1734C09D8D70C6779A4F1A3E6E2A9CC9F
C361A06E51D2E2CD560F43D4CC9DABE765536179

Win32/TrojanDownloader.Agent.CWY SHA-1:
F1BF54186C2C64CD104755F247867238C8472504

Python/TeleBot.AA бэкдор SHA-1:
16C206D9CFD4C82D6652AFB1EEBB589A927B041B
1DC1660677A41B6622B795A1EB5AA5E5118D8F18
26DA35564D04BB308D57F645F353D1DE1FB76677
30D2DA7CAF740BAAA8A1300EE48220B3043A327D
385F26D29B46FF55C5F4D6BBFD3DA12EB5C33ED7
4D5023F9F9D0BA7A7328A8EE341DBBCA244F72C5
57DAD9CDA501BC8F1D0496EF010146D9A1D3734F
68377A993E5A85EB39ADED400755A22EB7273CA0
77D7EA627F645219CF6B8454459BAEF1E5192467
7B87AD4A25E80000FF1011B51F03E48E8EA6C23D
7C822F0FDB5EC14DD335CBE0238448C14015F495
86ABBF8A4CF9828381DDE9FD09E55446E7533E78
9512A8280214674E6B16B07BE281BB9F0255004B
B2E9D964C304FC91DCAF39FF44E3C38132C94655
FE4C1C6B3D8FDC9E562C57849E8094393075BC93

VBS бэкдоры SHA-1:
F00F632749418B2B75CA9ECE73A02C485621C3B4
06E1F816CBAF45BD6EE55F74F0261A674E805F86
35D71DE3E665CF9D6A685AE02C3876B7D56B1687
F22CEA7BC080E712E85549848D35E7D5908D9B49
C473CCB92581A803C1F1540BE2193BC8B9599BFE

BCS-server SHA-1:
4B692E2597683354E106DFB9B90677C9311972A1
BF3CB98DC668E455188EBB4C311BD19CD9F46667

Модифицированный Mimikatz SHA-1:
B0BA3405BB2B0FA5BA34B57C2CC7E5C184D86991
AD2D3D00C7573733B70D9780AE3B89EEB8C62C76
D8614BC1D428EBABCCBFAE76A81037FF908A8F79

LDAP инструмент запроса SHA-1:
81F73C76FBF4AB3487D5E6E8629E83C0568DE713

CredRaptor похититель паролей SHA-1:
FFFC20567DA4656059860ED06C53FD4E5AD664C2
58A45EF055B287BAD7B81033E17446EE6B682E2D

Win64/Spy.KeyLogger.G троян SHA-1:
64CB897ACC37E12E4F49C4DA4DFAD606B3976225
A0B9A35675153F4933C3E55418B6566E1A5DBF8A

Win32/KillDisk SHA-1:
71A2B3F48828E4552637FA9753F0324B7146F3AF
8EB8527562DDA552FC6B8827C0EBF50968848F1A