Microsoft предупреждает: хакеры взломали программу обновления Windows

Microsoft призывает поставщиков программного обеспечения защитить процессы обновления в своих приложениях после обнаружения «хорошо спланированной, тонко организованной» атаки, в результате которой была взломана система обновления программного обеспечения.

Что о ней известно?

Шпионская кампания, получившая название WilySupply, скорее всего, будет финансово мотивированной и нацеленной в основном на компании, работающие в сфере финансов и платежных систем.

В этом случае злоумышленники использовали средство обновления для доставки «неподписанного исполняемого файла с низкой распространенностью», а затем сканировали сеть жертвы и устанавливали удаленный доступ.

Атака на процесс обновления доверенного программного обеспечения является отличным средством для злоумышленников, поскольку пользователи полагаются на механизм получения реальных обновлений и исправлений.

Microsoft отмечает, что такой же метод был использован в ряде атак: например, в 2013 году несколько южнокорейских организаций были взломаны через вредоносную версию установщика SimDisk.

В чём отличие WilySupply от других атак?

У злоумышленников есть дополнительное преимущество в виде доступа к бесплатным инструментам для ручного тестирования с открытым исходным кодом, таким как Evil Grade. Это помогает использовать ошибочные реализации обновлений для внедрения в них зловредных программ.

Microsoft отмечает:

Загруженный исполняемый файл оказался вредоносным бинарником, который запустил сценарии PowerShell, связанные с оболочкой Meterpreter, что предоставило злоумышленнику контроль над удаленным компьютером. Малварь распознана как Rivit.

Microsoft также отмечает некоторые черты продвинутых злоумышленников. Одной из черт является использование саморазрушающихся исходных двоичных файлов и данных, хранящихся только в оперативной памяти, во избежание обнаружения антивирусом.

В феврале компания Kaspersky Security сообщила о росте количества обнаруженных вредоносных программ в банках по всему миру, в которых злоумышленники используют Meterpreter и стандартные утилиты Windows для проведения атак. Как отметила компания, URL, ответственный за загрузку Meterpreter — adobeupdates.sytes[.]net.

Microsoft отслеживала источник заражений на устройствах клиентов с помощью консоли Windows Defender Advanced Threat Protection (ATP), специальной функции Windows 10 для обнаружения и распознвания вредоносного ПО.

Представители компании пояснили:

Используя представления дерева процессов в консоли Windows Defender ATP, мы смогли отследить процесс, ответственный за вредоносные действия. Мы проследили эти действия в программе обновления. Экспертиза папки Temp на пораженной машине указала нам на законную стороннюю программу обновления, запущенную как сервис. Программа загрузила неподписанный исполняемый файл с низкой распространенностью прямо перед тем, как был обнаружен вирус.