Наши эксперты из команды GReAT обнаружили и исследовали новую волну целевых рассылок за авторством APT-группы «Форумный тролль». Причем если раньше их вредоносные письма отправлялись на публичные адреса организаций, то теперь в качестве получателей злоумышленники выбрали конкретных людей — ученых из российских университетов и других научных организаций, специализирующихся на политологии, международных отношениях и мировой экономике. Целью рассылки было заражение компьютеров жертвы зловредом, обеспечивающим удаленный доступ к устройству.
Как выглядит вредоносное письмо
Письма злоумышленники отправляли с адреса support@e-library{.}wiki, имитирующего адрес научной электронной библиотеки eLibrary (ее реальный домен — elibrary.ru). Внутри содержались персонализированные ссылки, по которым жертве предлагали скачать отчет о проверке какого-то материала на плагиат, что, по замыслу атакующих, должно было заинтересовать ученых.
В реальности по ссылке скачивался архив, размещенный на том же домене e-library{.}wiki. Внутри находился вредоносный ярлык и директория .Thumbs с какими-то изображениями, которые, по всей видимости, были нужны для обхода защитных технологий. В названии архива и вредоносного ярлыка использовались фамилия, имя и отчество жертвы.
В случае если жертва испытывала сомнения в легитимности письма и заходила на страницу e-library{.}wiki, ей показывали несколько устаревшую копию настоящего сайта.
Что происходит, если жертва кликает по вредоносной ссылке
Если получивший письмо ученый кликал по файлу с расширением .lnk, на его компьютере выполнялся вредоносный PowerShell-скрипт, запускающий цепочку заражения. В итоге злоумышленники устанавливали на атакуемую машину коммерческий фреймворк для редтиминга Tuoni, предоставляющий атакующим удаленный доступ и другие возможности для дальнейшей компрометации системы. Помимо этого зловред осуществлял закрепление полезной нагрузки при помощи техники COM Hijacking, а также загружал и демонстрировал жертве отвлекающий PDF-файл, в названии которого также фигурировали фамилия, имя и отчество жертвы. Сам файл, впрочем, не был персонализирован — это был достаточно размытый отчет в формате одной из российских систем проверки на плагиат.
Интересно, что если жертва пыталась открыть вредоносную ссылку с устройства, работающего на системе, не поддерживающей запуск PowerShell, то ей предлагали попробовать еще раз с компьютера под Windows. Более подробный технический разбор атаки вместе с индикаторами компрометации можно найти в посте на сайте Securelist.
Как оставаться в безопасности
Зловреды, используемые в данной атаке, успешно выявляются и блокируются защитными инструментами «Лаборатории Касперского». Мы рекомендуем устанавливать надежные ИБ-решения не только на все устройства, с которых сотрудники выходят в Интернет, но и на почтовый шлюз организации, что позволит останавливать большую часть доставляемых через электронную почту угроз до того, как они окажутся на устройстве сотрудника.
