Ars Technica использовалась в кампании по вредоносному ПО с невиданной ранее путаницей

Ars Technica недавно использовалась для обслуживания вредоносного ПО второй стадии в кампании, в которой использовалась невиданная ранее цепочка атак, чтобы умело замести следы, сообщили во вторник исследователи из охранной компании Mandiant.

Безобидное изображение пиццы было загружено на сторонний веб-сайт, а затем связано с URL-адресом, вставленным на страницу «О себе» зарегистрированного пользователя Ars. В этом URL-адресе была спрятана строка символов, которая казалась случайной, но на самом деле представляла собой полезную нагрузку. Кампания также была нацелена на сайт обмена видео Vimeo, где было загружено неопасное видео, а в описание видео была включена вредоносная строка. Строка была сгенерирована с использованием метода, известного как База 64 кодировка. Base 64 преобразует текст в печатный строковый формат ASCII для представления двоичных данных. Устройства, уже зараженные вредоносным ПО первой стадии, использованным в кампании, автоматически извлекали эти строки и устанавливали вторую стадию.

Обычно не наблюдается

«Это другой и новый способ наблюдения за злоупотреблениями, который довольно сложно обнаружить», — сказал в интервью исследователь Mandiant Яш Гупта. «Это то, чего мы обычно не встречаем во вредоносных программах. Для нас это довольно интересно, и мы хотели бы это подчеркнуть».

Изображение, опубликованное на Ars, появилось в профиле пользователя, создавшего учетную запись 23 ноября. Представитель Ars сообщил, что фотография с пиццей и подписью «Я люблю пиццу» была удалена сотрудниками Ars 16 декабря после того, как ей дали чаевые. отключено по электронной почте от неизвестного лица. В профиле Ars использовался встроенный URL-адрес, указывающий на изображение, которое автоматически заполнялось на странице «О компании». Вредоносная кодировка Base 64 появилась сразу после легитимной части URL-адреса. Строка не вызвала никаких ошибок и не препятствовала загрузке страницы.

Мандиантные исследователи сказал никаких последствий для людей, которые могли просматривать изображение, как на странице Ars, так и на веб-сайте, на котором оно размещалось, не было. Также неясно, посещал ли кто-либо из пользователей Ars страницу с информацией.

Устройства, зараженные на первом этапе, автоматически обращались к вредоносной строке в конце URL-адреса. Оттуда они заразились второй стадией.

Видео на Vimeo работало аналогично, за исключением того, что строка была включена в описание видео.

Представителям Ars больше нечего было добавить. Представители Vimeo не сразу ответили на письмо.

Кампания исходила от злоумышленника Mandiant, отслеживаемого под номером UNC4990, который активен как минимум с 2020 года и имеет признаки мотивации финансовой выгоды. Группа уже использовала отдельную новую технику, чтобы оставаться незамеченной. Этот метод распространил второй этап с использованием текстового файла, который браузеры и обычные текстовые редакторы отображали как пустой.

Открытие того же файла в шестнадцатеричном редакторе — инструменте для анализа и криминалистического исследования двоичных файлов — показало, что сочетание табуляции, пробелов и новых строк было организовано таким образом, чтобы закодировать исполняемый код. Как и в случае с Ars и Vimeo, исследователи Mandiant никогда раньше не видели использования такого файла. Раньше UNC4990 использовал GitHub и GitLab.

Начальная стадия вредоносного ПО передавалась через зараженные USB-накопители. На дисках установлена ​​полезная нагрузка, которую Mandiant назвал explorerps1. Затем зараженные устройства автоматически обращались либо к вредоносному текстовому файлу, либо к URL-адресу, опубликованному на Ars, или к видео, опубликованному на Vimeo. Строки Base 64 в URL-адресе изображения или описании видео, в свою очередь, заставляли вредоносное ПО связываться с сайтом, на котором размещался второй этап. Вторая стадия вредоносного ПО, отслеживаемая как Emptyspace, постоянно опрашивала сервер управления и контроля, который по команде загружал и выполнял третью стадию.

Компания Mandiant наблюдала установку третьей ступени только в одном случае. Это вредоносное ПО действует как бэкдор, который исследователи отслеживают как Quietboard. В этом случае бэкдор устанавливал майнер криптовалюты.

Любой, кто обеспокоен тем, что он мог быть заражен каким-либо вредоносным ПО, охватываемым Mandiant, может проверить раздел индикаторов компрометации в сообщении во вторник.