Статья Вредоносная программа Bisonal запускается через вредоносный PDF для атаки на правительственные, военные или оборонные отрасли

[AnnaDavydova]

В новой версии вредоносной программы Bisonal обнаружено, что она хранится в файле PDF, предназначенном для использования в военных целях, который в основном ориентирован на организации, связанные с правительственными, военными или оборонными отраслями.

Эта вредоносная кампания, в основном, используемая при нападении на различные страны с 2014 года, в настоящее время является автором многих усовершенствованных вредоносных программ в новой версии вредоносного программного обеспечения Bisonal.

Исследователи определили 2 основных различия между старой версией вредоносного программного обеспечения Bisonal и новой версией, которая включает в себя связь C2, переписанный код, а также авторы вредоносных программ добавили еще множество методов уклонения для поддержания устойчивости.

В настоящее время кампания по распространению вредоносной программы в основном сосредоточена на России и Южной Корее, которые содержат некоторые из распространенных атак по сравнению со старой версией:

• Обычно целевыми организациями являются те, которые связаны с государственной, военной или оборонной промышленностью в Южной Корее, России и Японии.
• В некоторых случаях предусматривается использование Dynamic DNS (DDNS) для C2 серверов.
• Использование целевого кода или кода кампании с его C2 для отслеживания соединений жертвы или атак соединений кампании.
• Проектирование вредоносного программного обеспечения Bisonal в качестве PDF, Microsoft Office Document или Excel файл.
• Использование файла приманки в дополнение к вредоносному файлу PE
• В некоторых случаях происходит кодирование для обработки символов кириллицы в русскоязычных операционных системах.

Основные цели атак вредоносной программы Bisonal

В данном разделе мы можем видеть один из примеров Bisonal-модуля, который является целенаправленной атакой на российскую организацию, которая относится к службам обеспечения безопасности связи, телекоммуникационным системам и обороне. Атака использует электронные фишинг-письма.

В самом электронном письме содержится некоторая информация, предназначенная для работников оборонной отрасли вместе с прикрепленным PDF-документом, который содержит исполняемый файл.

Как только в файл PDF предназначенный для использования в военных целях, который содержит вредоносное исполняемое приложение, открыт, главный payload помещается на атакуемой машине и отображает файл приманки для жертвы.

Вредоносные программы, замаскированные под PDF

Размещенные файлы приманки принадлежат к семейству вредоносных программ Bisonal, и они скрывают зашифрованные файл Bisonal DLL и файл с не вредоносной приманкой в самом конце.



Основной модуль вредоносного программного обеспечения Bisonal, использующий другой шифр для связи C2 с применением того же ключа 2011 года, где также значительная часть кода была переписана.

Далее вариант Bisonal отправляет запрос HTTP POST на сервер C2 и обменивается IP-адресом взломанной машины.

Согласно сетям paloalto, еще одним признаком заражения являются данные, отправляемые на сервер C2 во время первоначального соединения. Каждый раз, когда этот вариант Bisonal связывается со своим C2, он отправляет уникальный идентификационный номер и команду backdoor в первых восьми байтах.

Вскоре после получения начального сигнала от жертвы, зараженной Bisonal, C2 отвечает вместе с сеансом идентификационного номера и командой backdoor.

Основанная на командах, взломанная система ответит на C&C сервер вместе со следующими командами бэкдора.

Command (команда) Meaning (значение)

0x000000C8 Получает системную информацию
0x000000C9 Получает список процесса управления
0x000000CA Прекращает процесс
0x000000CB Предоставляет доступ к cmd shell
0x000000CD Загружает файл
0x000000CF Выполняет файл
0x000000D1 Создает файл

Аналогичным образом, целью является военная или оборонная промышленность в таких странах, как Южная Корея, Япония, Индия и Россия, и исследователи полагают, что за этой массовой атакой стоит определенная группа, и расследование продолжается.

IoC

Dropper SHA256:

B1DA7E1963DC09C325BA3EA2442A54AFEA02929EC26477A1B120AE44368082F8

0641FE04713FBDAD272A6F8E9B44631B7554DFD1E1332A8AFA767D845A90B3FA

Bisonal SHA256:

43459F5117BEE7B49F2CEE7CE934471E01FB2AA2856F230943460E14E19183A6

DFA1AD6083AA06B82EDFA672925BB78C16D4E8CB2510CBE18EA1CF598E7F2722

1128D10347DD602ECD3228FAA389ADD11415BF6936E2328101311264547AFA75

359835C4A9DBE2D95E483464659744409E877CB6F5D791DAA33FD601A01376FC

Источник: Bisonal Malware via Malicious PDF to Attack Government Defense Industries

 

[Tom]

В данном разделе мы можем видеть один из примеров Bisonal-модуля, который является целенаправленной атакой на российскую организацию

Источник: Bisonal Malware via Malicious PDF to Attack Government Defense Industries

Анна, НЕУЖЕЛИ в источнике информации так и написано: "который является целенаправленной атакой на российскую организацию"???
Или Вы пользуетесь "источником" который является "источником ПРОПАГАНДЫ"?
А на какой РФЯЦ нацелена атака, не подскажите?

 

[Глюк]

Анна, НЕУЖЕЛИ в источнике информации так и написано: "который является целенаправленной атакой на российскую организацию"???
Или Вы пользуетесь "источником" который является "источником ПРОПАГАНДЫ"?
А на какой РФЯЦ нацелена атака, не подскажите?

Ну если возникли подобные вопросы, то логично обратиться к источнику: "Here we can see one of the examples Bisonal module which is a targeted attack against Russian based organization that belongs to communication security services, telecommunication systems and defense using spear-phishing emails."
Кроме того, трудно уличить сайт gbhackers.com в распространении политической пропаганды.
Скорее всего в источнике просто приведён конкретный пример атаки. На месте российской компании могла быть компания из любой другой страны мира...