Enigma Stealer

Krievijas draudu dalībnieki ir izstrādājuši kampaņu, kuras mērķauditorija ir austrumeiropieši, kas strādā kriptovalūtu nozarē. Izmantojot viltus darba piedāvājumus, viņu mērķis ir inficēt savus upurus ar iepriekš nezināmu ļaunprogrammatūru, kas izsekots kā Enigma Stealer. Draudošā darbība balstās uz sarežģītu, ļoti neskaidru iekrāvēju komplektu, kas izmanto vecā Intel draivera ievainojamību. Šo paņēmienu izmanto, lai samazinātu Microsoft Defender marķiera integritāti un tādējādi apietu tā drošības pasākumus.

Visas šīs taktikas tiek izmantotas, lai piekļūtu konfidenciāliem datiem un apdraudētu upuru iekārtas. Sīkāka informācija par Enigma Stealer un uzbrukuma kampaņas infrastruktūru tika atklāta drošības pētnieku ziņojumā. Saskaņā ar viņu atklājumiem Enigma ir atvērtā pirmkoda ļaunprogrammatūras Stealerium modificēta versija.

Enigma Stealer kompleksā infekcijas ķēde

Enigma Stealer radītie draudi izmanto ļaunprātīgu e-pastu, lai uzbruktu saviem upuriem. E-pasta ziņojumos, kuros izliekas, ka tiek piedāvātas darba iespējas, ir pievienots RAR arhīvs, kurā ir .TXT fails ar kirilicā rakstītiem intervijas jautājumiem, kā arī izpildāmais fails ar nosaukumu “interview conditions.word.exe”. Ja upuris tiek mudināts palaist izpildāmo failu, tiek izpildīta daudzpakāpju slodzes ķēde, kas galu galā lejupielādē Enigma informācijas vākšanas ļaunprogrammatūru no Telegram.

Pirmās pakāpes lietderīgā slodze ir C++ lejupielādētājs, kas izmanto dažādas metodes, lai izvairītos no atklāšanas, lejupielādējot un palaižot otrās pakāpes lietderīgo slodzi “UpdateTask.dll”. Šī otrā posma izmantošana izmanto paņēmienu “Iegūstiet savu neaizsargāto draiveri” (BYOVD), lai izmantotu Intel ievainojamību CVE-2015-2291, kas ļauj izpildīt komandas ar kodola privilēģijām. Pēc tam draudu dalībnieki to izmanto, lai atspējotu Microsoft Defender, pirms ļaunprogrammatūra lejupielādē trešo lietderīgo slodzi.

Enigma Stealer draudošās spējas

Trešā krava, ko izvietojuši draudu dalībnieki, ir Enigma Stealer. Tas ir paredzēts, lai mērķētu uz sistēmas informāciju, marķieriem un parolēm, kas saglabātas tīmekļa pārlūkprogrammās, piemēram, Google Chrome, Microsoft Edge, Opera un citās. Turklāt tas var arī tvert ekrānuzņēmumus no apdraudētās sistēmas, iegūt starpliktuves saturu un VPN konfigurācijas.

Enigma Stealer var arī atlasīt datus, kas tiek glabāti programmās Microsoft Outlook, Telegram, Signal, OpenVPN un citās lietojumprogrammās. Visa savāktā informācija tiek saspiesta ZIP arhīvā (Data.zip), kas tiek nosūtīta atpakaļ apdraudējuma dalībniekiem, izmantojot telegrammu. Lai vēl vairāk slēptu savus datus un novērstu nesankcionētu piekļuvi vai iejaukšanos, dažas Enigma virknes, piemēram, tīmekļa pārlūkprogrammas ceļi un ģeolokācijas API pakalpojumu vietrāži URL, tiek šifrēti šifrēšanas bloku ķēdes (CBC) režīmā ar uzlabotā šifrēšanas standarta (AES) algoritmu.