Вредоносный бэкдор атакует дипломатические миссии и госучреждения
Компания Eset обнаружила новое семейство вредоносного ПО, связанного с группой киберпреступников Ke3chang, а также неизвестного ранее бэкдора. Он получил название Okrum, впервые был обнаружен в 2016 г. и оставался активным в 2017 г. Вредоносная программа использовалась для атак на дипломатические миссии и государственные учреждения в Бельгии, Словакии, Бразилии, Чили и Гватемале. Стоит отметить, что специалисты Eset наблюдали за деятельностью группы Ke3chang уже несколько лет.
Ранее специалисты ESET обнаруживали деятельность бэкдора Ketrican в нескольких европейских странах. Большинство атак были направлены на цели в Словакии, Хорватии и Чехии. Анализируя это вредоносное программное обеспечение, исследователи ESET обнаружили, что оно связано с группой Ke3chang.
Исследования Eset доказывают, что Okrum тоже принадлежит группе киберпреступников Ke3chang. Кроме похожих целей, Okrum имеет и подобный Ke3chang способ распространения. Например, новый бэкдор обладает лишь базовыми командами и использует ручной ввод shell-команд и выполнение внешних инструментов для большинства действий. Аналогичный механизм работы использует и группа Ke3chang в своих кампаниях.
Несмотря на то, что обнаруженные вредоносные программы не являются технически сложными, специалисты ESET обнаружили, что операторы Okrum пытались остаться незамеченными. В частности, компонент бэкдора скрыт в файле PNG. При открытии файла в программе для просмотра изображений пользователю отображается изображение PNG, однако загрузчики Okrum могут открывать дополнительный зашифрованный файл, который пользователь не может увидеть.
Кроме того, операторы вредоносного ПО пытались скрыть вредоносный трафик с его командным сервером в пределах обычного сетевого трафика, зарегистрировав, казалось бы, легитимные доменные имена.
