На протяжении последнего времени троян Sykipot неоднократно атаковал
компьютеры различных компаний, большинство из которых принадлежало к
оборонной промышленности. Основная цель трояна — похищение
интеллектуальной собственности (чертежи, бизнес-планы, техническая
документация) и передача на удалённый сервер. Для проникновения на
компьютеры пользователей троян использует уязвимости нулевого дня — в
частности, 1 декабря была проведена масштабная атака, использующая такую
уязвимость в Adobe Reader и Acrobat.
Каждой атаке Sykipot присваивался уникальный цифровой код, состоящий
из нескольких букв и даты нападения, который записывался в тело самого
трояна. В некоторых случаях ключевое слово, предшествующее цифрам,
представляло собой название папки поддомена использующего ее сервера.
Компании Symantec удалось добыть список таких идентификаторов, вот некоторые из них.
alt20111215 auto20110413 auto20110420 be20111010 webmail20111122 world20111205
Такие маркеры вирусных атак позволяют злоумышленникам отслеживать атаки на разные фирмы и организации.
Вирусописатели также оставили дополнительные метки, которые позволяют
понять, какой сервер используется в качестве промежуточного при
внедрении нового исполняемого файла на компьютер жертвы. Кроме того, по
словам экспертов Symantec, они могут с уверенностью подтвердить тот
факт, что, помимо этого, этот же сервер на определённом этапе также
использовался как сервер управления (C&C). Сам сервер располагается в
Пекине и принадлежит одному из крупнейших китайских провайдеров. Более
того, одна из атак была совершена из китайской провинции Чжэцзян
(Zhejiang). За последние пару месяцев на сервере располагались более чем
сотня вредоносных файлов, многих из которых использовались в атаках
Sykipot.
Многие файлы представляют собой заражённые исполняемые pdf-файлы,
содержащие вредоносный код, запускающий Sykipot. Там же можно найти и
утилиты, используемые уже после внедрения первого вредоноса, например,
gsecdump, которая делает дамп паролей, хранящихся у пользователя.
Специалистам также попались на глаза шаблоны Microsoft Office,
эксплуатирующие уязвимость, связанную с переполнением стека при работе с
RTF (BID 44652). Многие из этих файлов не генерируются прямо в системе,
а создаются где-то еще, а только потом копируются. Обычно источниками
их появления служат FTP и внешние носители.
Файлы могли также попасть на компьютер после того, как пользователи
запускали один из популярных в Азии IM-клиентов. Отследить с его
помощью, кто именно раздавал вредоносное ПО, не удалось.
Наконец, Symantec стали известны некоторые домены, связанные с трояном Sykipot:
altchksrv.hostdefence.net data.wilsoncallcenter.com help.newcarstyle.com info.capestonecounty.com info.facebook-support.org info.wilsoncallcenter.com live.tech-att.com mail.sixnationtalk.com service.1inkedin.net bodyshowworld.com capestonecounty.com welldone123.net yahoo-security-center.vicp.net
Некоторые из них использовались при атаках, но многие
зарегистрированы просто для того, что быть частью инфраструктуры
Sykipot. В нескольких случаях были замечены рассылки вредоносных писем с
сервера на одном хостинге с упомянутым C&C доменом. Для таких
случаев системные администраторы должны воспользоваться предоставленной
информацией, чтобы отслеживать действия злоумышленников.
Как отмечают специалисты Symantec, у Sykipot долгая история
разнообразных атак, а также очевидные китайские корни. Группа
вирусописателей постоянно совершенствует свое вредоносное детище,
«натасканное» против антивирусов и постоянно осваивающее новые
уязвимости. В силу всего этого, делают вывод они, мы еще не раз услышим о
Sykipot в будущем.
|