Backdoor.Barkiofork - инструмент для кибератак на оборонную промышленность


SymantecКорпорацией Symantec был обнаружен ряд кибератак, нацеленных на предприятия оборонной и авиационно-космической промышленности. Злоумышленники заманивали жертв письмом с вредоносным содержимым, используя в качестве приманки отчет о перспективах развития оборонной и авиационно-космической индустрии.

Еще несколько недель назад эксперты Symantec стали свидетелями кибератак с применением направленного фишинга, направленных на организации авиационно-космической и оборонной промышленности. В ходе исследований специалисты выявили, по меньшей мере, 12 различных организаций попавших под удар. Среди них оказались компании, связанные с авиацией и управлением воздушным движением, а также выполняющие государственные заказы, в том числе оборонные.

В качестве жертв злоумышленники выбирали значимых лиц:

  • топ-менеджеров;
  • директоров;
  • вице-президентов.


Содержание всех электронных писем было идентичным. В качестве приманки злоумышленники использовали опубликованный в 2012 году отчет о перспективах оборонной и авиационно-космической индустрии. Злоумышленники попытались подделать письмо. В результате у них это почти получилось. Отправляемые ими письма получатели расценивали так, как будто оно было отправлено компанией, изначально его составившей, а точнее от сотрудника компании, либо от специалиста, занятого в одной из указанных отраслей.

При открытии прикрепленного к письму вредоносного pdf-файла, срабатывал эксплойт, пытавшийся использовать уязвимость "SWF" File Remote Memory Corruption Vulnerability (CVE-2011-0611). При удачной попытке, с целью усыпить бдительность пользователя, в систему вместе с вредоносными файлами также загружался "чистый" pdf-файл.

Используемый в качестве приманки pdf-файл представляет собой обзор перспектив отрасли, однако злоумышленники слегка изменили оригинал, убрав некоторые брендинговые элементы.

Параллельно с открытием чистого pdf-файла, в систему устанавливалась вредоносная версия файла svchost.exe, который затем размещал в папке Windows вредоносную версию библиотеки ntshrui.dll. Угроза использует технику проникновения через механизм поиска DLL (ntshrui.dll не защищён средствами операционной системы, как известный dll-файл). Когда файл svchost.exe запускает explorer.exe, то последний подгружает вредоносный файл ntshrui.dll из папки Windows вместо легитимного, расположенного в системной папке Windows. Продукты Symantec определяют вредоносные файлы svchost.exe и ntshrui.dll как Backdoor.Barkiofork.

Backdoor.Barikiofork обладает следующей функциональностью:

  • Производит переучёт дисков;
  • Связывается со своим сервером управления через osamu.update.ikwb.com;
  • Похищает системную информацию;
  • Скачивает и устанавливает свои обновления.


Данная кампания нацеленного фишинга демонстрирует нам изощренность и высокий уровень подготовки злоумышленников при проведении атак с целью хищения информации, и особенно использование приемов социальной инженерии, наиболее эффективно воздействующих на жертву.


Обновлено (12.02.2013 14:35)