Исследователи обнаружили новый образец вредоносного ПО, способный скрываться от более чем 50 антивирусов (откроется в новой вкладке) продукты, доступные на рынке прямо сейчас.
Вредоносная программа была обнаружена исследователями кибербезопасности из Unit 42, группы по анализу угроз в Palo Alto Networks. Команда впервые обнаружила штамм в мае, когда обнаружила, что он был создан с использованием инструмента Brute Ratel (BRC4).
Разработчики BRC4 утверждают, что у них даже есть реверс-инжиниринг популярных антивирусных продуктов, чтобы убедиться, что их инструмент избегает обнаружения.
Качество дизайна и скорость, с которой он распространялся между конечными точками жертв, убедили исследователей в том, что за кампанией стоит спонсируемый государством субъект.
Русские методы
Хотя сам инструмент опасен, исследователей больше интересовал путь его распространения, который указывает на то, что в игре участвует спонсируемый государством субъект.
Вредоносное ПО распространяется в виде поддельного документа CV. Резюме — это файл ISO, который после установки на виртуальный диск отображает нечто, напоминающее документ Microsoft Word.
Хотя исследователи до сих пор не могут точно определить, кто стоит за BRC4, они подозревают базирующуюся в России APT29 (также известную как Cozy Bear), которая в прошлом использовала боевые ISO-образы.
Еще один намек на то, что в игре участвует спонсируемый государством актер, — это скорость использования BRC4. ISO был создан в тот же день, когда была опубликована последняя версия BRC4.
«Анализ двух образцов, описанных в этом блоге, а также передовые технологии, используемые для упаковки этих полезных нагрузок, ясно показывают, что злоумышленники начали использовать эту возможность», — написал Unit 42 в своем блоге.
«Мы считаем крайне важным, чтобы все поставщики систем безопасности создавали средства защиты для обнаружения BRC4 и чтобы все организации принимали упреждающие меры для защиты от этого инструмента».
С помощью: Регистр (откроется в новой вкладке)
