Обнаружена вторая полезная нагрузка CCleaner Malware
- Категория: Безопасность
Новый отчет Cisco Talos Group предполагает что взлом CCleaner оказался более сложным, чем предполагалось изначально. Исследователи обнаружили доказательства наличия второй полезной нагрузки в ходе анализа вредоносного ПО, нацеленного на очень конкретные группы на основе доменов.
18 сентября 2017 г. Piriform сообщил что инфраструктура компании около месяца распространяла вредоносную версию программы для очистки файлов CCleaner.
Инфраструктура компании была скомпрометирована, и пользователи, которые загрузили версию CCleaner 5.33 с веб-сайта или использовали автоматические обновления для ее установки, получили зараженную версию в своей системе.
Мы говорили о методах определения того, установлена ли в системе зараженная версия. Вероятно, лучший индикатор, помимо проверки версии CCleaner, - это проверка наличия ключей реестра в HKLM SOFTWARE Piriform Agomo.
Piriform поспешил заявить, что пользователи могут решить проблему, установив новую версия CCleaner без вредоносных программ ,
Новый отчет предполагает, что этого может быть недостаточно.
Talos Group обнаружила доказательства того, что атака была более изощренной, поскольку она была нацелена на определенный список доменов со второй полезной нагрузкой.
- singtel.corp.root
- htcgroup.corp
- Самсунг-Breda
- Samsung
- samsung.sepm
- samsung.sk
- jp.sony.com
- am.sony.com
- gg.gauselmann.com
- vmware.com
- ger.corp.intel.com
- amr.corp.intel.com
- ntdev.corp.microsoft.com
- cisco.com
- uk.pri.o2.com
- vf-es.internal.vodafone.com
- Linksys
- apo.epson.net
- msi.com.tw
- infoview2u.dvrdns.org
- dfw01.corp.akamai.com
- hq.gmail.com
- dlink.com
- test.com
Исследователи предполагают, что злоумышленник преследовал интеллектуальную собственность на основе списка доменов, принадлежащих высококлассным технологическим компаниям.
Интересно, что указанный массив содержит домен Cisco (cisco.com) вместе с другими известными технологическими компаниями. Это наводит на мысль о очень целенаправленном актере после ценной интеллектуальной собственности.
Talos Group предложила восстановить компьютерную систему с помощью резервной копии, созданной до заражения. Новые данные подтверждают это, и исследователи настоятельно предполагают, что простого обновления CCleaner может быть недостаточно, чтобы избавиться от вредоносного ПО.
Эти результаты также подтверждают и подкрепляют нашу предыдущую рекомендацию о том, что те, кто пострадал от этой атаки на цепочку поставок, не должны просто удалить затронутую версию CCleaner или обновить до последней версии, но должны восстановить из резервных копий или повторно создать образ системы, чтобы полностью удалить не только резервная версия CCleaner, а также любое другое вредоносное ПО, которое может находиться в системе.
Установщик этапа 2 - GeeSetup_x86.dll. Он проверяет версию операционной системы и на основе проверки устанавливает 32-битную или 64-битную версию трояна в систему.
32-битный троян - TSMSISrv.dll, 64-битный троян - EFACli64.dll.
Идентификация полезной нагрузки этапа 2
Следующая информация помогает определить, загружена ли в систему полезная нагрузка этапа 2.
Ключи реестра:
- HKLM Программное обеспечение Microsoft Windows NT CurrentVersion WbemPerf 001
- HKLM Программное обеспечение Microsoft Windows NT CurrentVersion WbemPerf 002
- HKLM Программное обеспечение Microsoft Windows NT CurrentVersion WbemPerf 003
- HKLM Программное обеспечение Microsoft Windows NT CurrentVersion WbemPerf 004
- HKLM Программное обеспечение Microsoft Windows NT CurrentVersion WbemPerf HBP
файлы:
- GeeSetup_x86.dll (Хеш: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Хеш: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll (Хеш: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- DLL в реестре: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
- Полезная нагрузка этапа 2: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83