Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нового сімейства шкідливого програмного забезпечення, пов’язаного з групою кіберзлочинців Ke3chang, а також невідомого раніше бекдору.
Новий бекдор, який отримав назву Okrum, вперше був виявлений у 2016 році та залишався активним у 2017. Шкідлива програма використовувалась для атак на дипломатичні місії та урядові установи у Бельгії, Словаччині, Бразилії, Чилі та Гватемалі. Варто зазначити, що спеціалісти ESET спостерігали за діяльністю групи Ke3chang вже декілька років.
Раніше спеціалісти ESET виявляли діяльність бекдора Ketrican в декількох європейських країнах. Більшість атак були направлені на цілі у Словаччині, Хорватії та Чехії. Аналізуючи це шкідливе програмне забезпечення, дослідники ESET виявили, що воно пов’язане з групою Ke3chang.
«Ми помітили зв’язок між цими подіями, коли виявили, що бекдор Okrum був використаний для завантаження Ketrican версії 2017 року. Крім того, ми виявили, що деякі дипломатичні особи, які постраждали від Okrum та бекдору Ketrican версії 2015 року, стали жертвами і в 2017 році, — зазначають дослідники ESET. — Цього року група все ще залишається активною , зокрема, у березні ми виявили новий зразок Ketrican».
Дослідження ESET доводять, що Okrum теж належить групі кіберзлочинців Ke3chang. Крім схожих цілей, Okrum має і подібний до Ke3chang спосіб поширення. Наприклад, новий бекдор володіє лише базовими командами та використовує ручне введення shell-команд та виконання зовнішніх інструментів для більшості дій. Аналогічний механізм роботи використовує ігрупа Ke3chang у своїх кампаніях.
Незважаючи на те, що виявлені шкідливі програми не є технічно складними, спеціалісти ESET виявили, що оператори Okrum намагалися залишитися непоміченими. Зокрема, компонент бекдора прихований у файлі PNG. Під час відкриття файлу в програмі для перегляду зображень користувачу відображається зображення PNG, однак завантажувачі Okrum можуть відкривати додатковий зашифрований файл, який користувач не може побачити.
Крім того, оператори шкідливого програмного забезпечення намагалися приховати шкідливий трафік з його командним сервером у межах звичайного мережевого трафіку, зареєструвавши, здавалося б, легітимні доменні імена. «Наприклад, зразки загрози, які були спрямовані на цілі в Словаччині, мали доменні імена, що імітували словацький портал карт», — розповідають спеціалісти ESET.
Варто зазначити, що кожні кілька місяців автори Okrum активно змінювали реалізацію компонентів завантажувача та інсталятора бекдора для уникнення їх виявлення. На момент публікації дослідження системи ESET виявили сім різних версій компонента завантажувача, а також дві версії інсталятора, хоча їх функціонал залишався незмінним.
Більш детальний аналіз бекдорів Ketrican та Okrum доступний за посиланням.