Целевая атака с использованием методов социальной инженерии остается одной из ключевых угроз для информационной безопасности организаций. В марте 2024 года российский оператор грузовых железнодорожных перевозок едва не стал жертвой подобной атаки, в ходе которой злоумышленники планировали использовать популярные техники для закрепления в скомпрометированной системе, включая эксплуатацию уязвимости в Яндекс.Браузере.
Вектор атаки: целевой фишинг
Атака началась с фишингового письма, замаскированного под резюме соискателя. Вложение содержало lnk-файл с двойным расширением (.pdf.lnk), который, будучи замаскированным под PDF-документ, содержал ссылку на вредоносный исполняемый файл. Важной деталью здесь стало использование хорошо известной тактики двойных расширений, что вводило в заблуждение пользователей и позволяло файлу казаться безобидным.
Метаданные, хранящиеся в lnk-файле
Целью злоумышленников было сначала скрытно запустить PowerShell на компьютере жертвы, который затем загружал два вредоносных скрипта. Один из них устанавливал троян, маскирующийся под обновление Яндекс Браузера (YandexUpdater.exe). Этот компонент скрытно разворачивал Trojan.Packed2.46324, который, в свою очередь, устанавливал трояна Trojan.Siggen28.53599 для дальнейшего управления системой и выполнения вредоносных задач, включая сбор данных и загрузку дополнительных модулей.
Схема атаки
Индикаторы компрометации опубликованы на GitHub.
Использование Яндекс.Браузера
Основной целью атаки была эксплуатация уязвимости в Яндекс.Браузере, связанной с порядком поиска динамических библиотек (DLL Search Order Hijacking). Вредоносная библиотека Wldp.dll помещалась в каталог установки Яндекс.Браузера, что позволяло загружаться ей первой при запуске браузера. Эта вредоносная DLL, получив права браузера, могла выполнять команды от его имени, получая доступ к интернету через его разрешения.
Злоумышленники использовали шифрование для маскировки полезной нагрузки. Расшифровка выполнялась в два этапа, что усложняло анализ и обнаружение вредоносной активности. Финальная полезная нагрузка, скрытая в DLL, запускала шелл-код для загрузки дополнительных компонентов с удаленного сервера. Однако на момент анализа специалисты не смогли установить, какое именно ПО загружалось, так как сервер был уже недоступен.
Обновите Яндекс.Браузер
Атака на железнодорожного оператора демонстрирует многоступенчатую схему инфицирования, где каждый элемент был тщательно спланирован для обхода защиты и минимизации риска обнаружения. Однако благодаря своевременному вмешательству специалистов компании «Доктор Веб», атака была предотвращена. Уязвимость в Яндекс.Браузере была быстро устранена, и пользователям рекомендуется немедленно обновить браузер до версии 24.7.1.380 (и выше).
Рекомендации по защите
- Обучение сотрудников безопасному обращению с электронной почтой.
- Использование антивирусных и фильтрующих решений.
- Регулярное обновление всех установленных приложений.
- Контроль подозрительной активности на узлах сети.
Заблаговременное выявление и устранение уязвимостей, как в случае с Яндекс.Браузером, остаётся важным шагом для обеспечения безопасности в условиях возрастающей угрозы кибератак.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах