Неизвестные злоумышленники используют комбинацию из общедоступного бэкдора с открытым исходным кодом и модифицированного приложения Windows для получения административных, а затем и системных привилегий в атакованной системе.
Экранный диктор с сюрпризами
Хакеры нашли способ подменять легитимное приложение Narrator (он же в русском варианте «Экранный диктор») в Windows троянизированной версией, что обеспечивает им максимальные привилегии в атакованной системе. Кроме этого, злоумышленники устанавливают в систему бэкдор PcShare.
Экранный диктор — приложение для озвучивания текста на экране; оно предназначено для слепых и слабовидящих людей. Приложение впервые появилось в Windows 2000 в 1999 г., и с тех пор сопровождает все версии операционной системы.
Необходимо отметить, что «Экранный диктор» можно запускать до авторизации в системе. Мало того, это приложение, как и наследует привилегии процесса авторизации winlogon.exe, который всегда запускается с максимальными привилегиями (System). Благодаря использованию троянца злоумышленники могут удалённо контролировать систему в обход всякой авторизации — им не надо вводить ни логины, ни пароли.
«Общедоступный бэкдор»
Использование фальшивого экранного диктора позволяет злоумышленникам получать доступ к командной консоли Windows без авторизации в системе. Впрочем, для его установки в систему потребуется сначала получить административные права в системе.
Комбинация из общедоступного бэкдора с открытым исходным кодом и стандартного приложения позволяет получить административные и системные привилегии в Windows
Как раз для этого используется китайский бэкдор с открытыми исходниками PcShare. Он специально был модифицирован для нужд данной кампании: в частности, реализовано дополнительное шифрование канала, по которому поступают команды от контрольного сервера, а также функции обхода прокси. Кроме того, была удалена вся избыточная функциональность, - то есть, создатели этой версии бэкдора подошли к делу весьма основательно.
Бэкдор заносится в систему с помощью подменённого файла NvSmartMax.dll — компонента приложения NVIDIA Smart Maximize Helper Host. Это служба, поставляемая с графическими драйверами NVIDIA Основное назначение данного DLL — расшифровать и загрузить NvSmartMax.dat — файл в котором и содержится основная «начинка» бэкдора.
Эксперты компании BlackBerry/Cylance отметили, что злоумышленники используют один и тот же вариант самого бэкдора, но временами модифицируют DLL под конкретные цели.
Сам по себе PcShare существует только в памяти, в нешифрованном виде он на жёсткий диск не записывается.
Административные и системные привилегии
Эксперты указывают, что из данной версии PcShare убраны функции аудио- и видеотрансляции, также удалена функциональность кейлоггера — видимо, с целью уменьшения размеров файла. Функции SSH/Telnet-сервера, автообновления, загрузки и выгрузки новых модулей — всё это осталось на месте.
С помощью этого вредоноса злоумышленники получают возможность удалённо производить массу операций в системе с правами администратора.
Но это не высший уровень привилегий: высшим является SYSTEM, и как раз его можно добиться с помощью поддельного «Экранного диктора».
По словам экспертов Cylance, поддельная версия «Экранного диктора» разрабатывается на протяжении уже нескольких лет, и, по-видимому, злоумышленники рассчитывают на долгосрочный шпионаж за жертвами.
Организаторы атак, скорее всего, располагаются в Китае. Большая часть используемых программ, включая сам бэкдор PcShare и его компоненты, - китайского происхождения, доступные на GitHub и китайских хакерских форумах. Основными объектами атак стали технологические компании, располагающиеся в Юго-Восточной Азии.
«Использование общедоступных инструментов позволяет значительно экономить на ресурсах, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Кроме того, это сильно затрудняет атрибуцию: невозможно определить сколько-нибудь достоверно, какая APT-группировка стоит за атаками, когда используются общедоступные инструменты, невозможно».