Хакеры прячут вредоносную активность внутри легитимного трафика


FireEyeИз отчета компании FireEye следует, что для сокрытия вредоносной активности внутри трафика легитимных сетей, например, популярных сервисов Twitter, GitHub и облачных хранилищ, группа высококвалифицированных российских хакеров использует инструмент HAMMERTOSS.

Напомним, бэкдор HAMMERTOSS был обнаружен исследователями из FireEye еще в начале текущего года. И как считают эксперты, российские хакеры использовали его для передачи команд и сбора данных из скомпрометированных систем.

Также в FireEye отметили, что работа HAMMERTOSS осуществляется в несколько этапов. Так, на первом этапе, бэкдор использует определенные учетные записи в Twitter, созданные с помощью предсказуемого алгоритма и которые ежедневно меняются.

Вредонос ожидает публикацию, содержащую хэштег и URL-адрес, с которого загружает изображение. И хотя на первый взгляд это изображение кажется обычным, тем не менее в нем скрыты стеганографические данные и дальнейшие инструкции для бэкдора. На последнем этапе, для выполнения команд на скомпрометированном хосте, HAMMERTOSS использует PowerShell.

Примечательным является тот факт, что HAMMERTOSS в арсенале APT29 является не часто используемым, а скорее, дополнительным инструментом на случай, если основной будет раскрыт. Как полагают эксперты, что в случае обнаружения злоумышленники модифицируют бэкдор или вовсе прекращают использовать его вариации и создают новое вредоносное ПО.


Обновлено (31.07.2015 12:45)