Kибергруппа LuoYu распространяет вредоносное ПО через подмену обновлений при передаче по сети – «Лаборатория Касперского»

Исследователи «Лаборатории Касперского» обнаружили, что для распространения зловреда WinDealer китайскоговорящая кибергруппа LuoYu способна проводить атаки типа «человек на стороне» (man-on-the-side).

Как отмечают эксперты компании, это доступные немногим наиболее ресурсным злоумышленникам атаки, в ходе которых вредоносное ПО внедряется в легитимный сетевой трафик жертвы. Основные цели кампании — иностранные дипломатические организации, члены академического сообщества, а также оборонные, логистические и телекоммуникационные компании на территории Китая. Также оказались затронуты Германия, Австрия, США, Чехия, Россия и Индия.

Атака man-on-the-side строится следующим образом: злоумышленник видит запросы на подключение к определённому ресурсу в сети. Это происходит путём перехвата данных или благодаря стратегическому положению в сети интернет-провайдера. Затем он отвечает жертве быстрее, чем легитимный сервер, и оправляет заражённую версию запрошенного файла. Даже если атакующие не добиваются успеха с первого раза, они повторяют свои попытки, пока не заразят большинство устройств, загрузив на них шпионское приложение. С его помощью можно просматривать любые файлы, хранящиеся на устройстве, и скачивать их, а также выполнять поиск по ключевым словам.

Помимо этого способа распространения у WinDealer есть ещё одна интересная особенность. Часто вредоносное ПО содержит жёстко прописанный командный сервер. Если специалист информационной безопасности получил адрес такого сервера, то он может заблокировать его и нейтрализовать угрозу. WinDealer же использует алгоритм генерации IP-адресов и затем из 48 тысяч адресов выбирает, с каким он будет работать в качестве сервера. Очевидно, что операторы не могут контролировать такое число серверов.

«К 2021 году эта группа вступила в клуб тех немногих, кому доступно манипулирование сетевым трафиком до жертв. Помимо заражённых дистрибутивов легитимных программ на это указывает и выбор сетевого адреса контрольного сервера из огромного количества сгенерированных вариантов, — комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского». — С точки зрения защиты пользователям стоит иметь в виду, что внедрение в HTTPS-трафик значительно сложнее и если к сети оператора доверия нет, а вариант с VPN по какой-то причине недоступен, то хотя бы не стоит загружать скрипты и программы по нешифрованному протоколу HTTP. Перед скачиванием дистрибутивов проверьте, что сайт отдаёт шифрованно не только страницы, но и файлы».

Чтобы защититься от такой сложной угрозы, как WinDealer, «Лаборатория Касперского» также рекомендует компаниям проводить аудит кибербезопасности сетей и устранять все обнаруженные уязвимости; использовать решение Endpoint Detection and Response и продукт для борьбы со сложными целевыми атаками, а также обеспечить сотрудникам центра мониторинга (SOC) доступ к самой свежей аналитике и регулярно повышать их квалификацию с помощью профессиональных тренингов; применять решения для защиты конечных устройств и специализированные сервисы для защиты от наиболее продвинутых атак; отслеживать появление новых угроз, например на Threat Intelligence Resource Hub, который предоставляет бесплатный доступ к постоянно обновляемой информации из глобальных источников.