«Evil Corp», одна из наиболее активных и разыскиваемых киберпреступных группировок последних лет, судя по всему вышла из зимней весенней спячки и готова возобновить охоту в киберпространстве с использованием «Dridex» - компьютерного вируса собственной разработки, банковского трояна и ботнета в одном флаконе.

Прежде чем затаиться в своем логове, осенью 2021 года «Evil Corp» запустила невероятно агрессивную и масштабную кампанию по распространению трояна «Dridex», пик которой пришелся на ноябрь 2021 года, а отдельные вспышки наблюдались вплоть до конца января 2022 года.

В рамках данной кампании группировка, как и прежде, активно использовала сеть скомпрометированных легитимных сайтов и фишинговых доменных имен, функционировавших на территории стран Европы, Азии и Южной Америки. В общей сложности нам удалось обнаружить следы «Evil Corp» на 664 доменах и 582 соответствующих им серверах, большая часть из которых была расположена в США, Индии, Германии, Индонезии и Дании.

Однако в качестве основной корзины для раздачи «адамовых яблок» «Evil Corp» использовали широко известные площадки «OneDrive», «Dropbox», «Slack» и «Transfer», а также мессенджер «Discord», на который пришлось более 8 тыс. ссылок на загрузку компонентов трояна «Dridex». Использование легитимных файловых хранилищ и мессенджера резко снижало вероятность обнаружения средствами антивирусной защиты.

Количество уникальных сэмплов малвари, обнаруженных нашими радарами, также не оставило места для сомнений в трудолюбии кодеров группировки: в общей сложности в наш карантин угодили 3498 образцов трояна «Dridex» и его DLL-компонентов, распространявшихся по электронной почте под видом финансовых документов Excel с вредоносными VBA-макросами либо содержащих их архивов, а также аудио- и видеофайлов, распространяемых через выше перечисленные файловые хранилища и мессенджер.

Но несмотря на впечатляющий размах и изобретательность, с начала февраля 2022 года активность «Dridex» резко прекратилась, что изначально было связано нами с событиями на Украине. Судя по многочисленным публикациям в СМИ о совместных мероприятиях ФБР США и Службы безопасности Украины, последняя является обителью для многочисленных bulletproof-хостингов, обеспечивающих функционирование управляющей инфраструктуры киберпреступных группировок, в т.ч. возможно и «Evil Corp».

Однако стоило нам только привыкнуть к «остановке сердца» на диаграмме активности «Evil Corp», как в конце мая - начале июня 2022 года на наших радарах появились вредоносные документы Word и Excel с трояном «Dridex» на борту, пролившие свет на истинные причины длительного отсутствия группировки на киберарене.

Угодившие в наш карантин новоявленные лоадеры «Dridex» представляют собой архивы WinRAR, все так же залегендированные под финансовые документы. Однако вместо легко атрибутируемых с группой документов с вредоносными макросами, требующими участия пользователя, посылки 2022 года содержат документы Word и Excel, простое открытие которых приводит к эксплуатации уязвимости 2017 года «CVE-2017-11882» в программном обеспечении «Microsoft Office» и запуску в инфицированной системе сэмплов трояна «Dridex», загружаемых с серверов скомпрометированных легитимных ресурсов. По иронии судьбы часть распространяющих малварь доменов соответствуют официальным сайтам IT-компаний - вендоров решений в области информационной безопасности.

Документ Excel с трояном «Dridex» и VBA-макросом, 2021 год

Документ Word с трояном «Dridex» и эксплойтом CVE-2017-11882, 2022 год (код скрыт автором статьи)

Собранные за прошедшие полгода артефакты позволили нам отследить в ретроспективе, что используемые для распространения трояна «Dridex» легитимные сайты были скомпрометированы как минимум в марте 2022 года и использовались для доставки популярных в даркнете стиллеров «RedLine», «Agent Tesla» и RAT-трояна «Remcos». При этом помимо идентичности площадок их размещения сходство также прослеживается в использовании идентичных документов «Microsoft Office» с эксплойтом 2017 года и названии вредоносных процессов в инфицированных системах, что явно указывает на группировку «Evil Corp» как на единую природу происхождения выявленных вредоносных кампаний.

Очевидно, операторы «Dridex», дополнив свой киберарсенал «MaaS»-троянами «RedLine», «Agent Tesla» и «Remcos», перешли на использование вектора проникновения в систему, не требующего взаимодействия с пользователем, в связи с долгожданным обновлением компанией «Microsoft» в начале февраля 2022 года политики безопасности, по умолчанию запрещающей выполнение макросов в документах «Microsoft Office».

Иными причинами использования общеизвестного и ветхого эксплойта 2017 года такой финансово обеспеченной группировкой, как «Evil Corp», наверняка располагающей ресурсами для приобретения дорогостоящих 0-day эксплойтов, могут быть:

• Актуальность. Дешево и сердито. Несмотря на почтенный возраст, эксплойт до сих пор в большинстве случаев позволяет пробивать продукты «Microsoft Office» и получать загрузку на целевой системе
• Доступность. Только на «GitHub» примитивным поиском можно обнаружить несколько версий PoC-эксплойтов для автоматизированной генерации вредоносных документов под данную уязвимость
• Популярность у других представителей киберкриминального сообщества и, как следствие, затруднение атрибутирования вредоносных кампаний и причастных к ним группировок. Уязвимость активно эксплуатируется как минимум операторами таких семейств платной и бесплатной малвари, как выше упомянутые «RedLine», «Agent Tesla» и «Remcos», а также «LokiBot», «FormBook», «AsyncRAT», «Snake Keylogger», «AveMariaRAT»

В настоящее время отчетливо видно, как киберкриминальный мир, в т.ч. не самые обеспеченные и организованные его представители, адаптируется к новым правилам игры, навязанным компанией «Microsoft», и активно использует в т.ч. возрастные и общеизвестные эксплойты для продукции американского вендора. Безусловно подобный переполох на рынке эксплойтов создает благоприятные условия таким крупным игрокам, как «Evil Corp», чтобы раствориться и оставаться незаметными в потоке масштабных рассылок однотипных вредоносных документов.