Ваш принтер не то, чем кажется. Как хакеры прячут вирусы в установщиках драйверов
NewsMakerОбновлённый вредонос Kazuar научился обходить защитные системы без лишнего шума.
ИБ-специалисты обнаружили обновлённую версию загрузчика Kazuar, который применяют участники киберопераций из группировки Turla. Этот модуль выполняет обход защитных механизмов Windows без вмешательства в системные файлы, применяет хитроумные трюки управления потоком выполнения и активно использует механизм COM. Всё это позволяет ему оставаться незаметным и затруднять анализ.
Атака начинается с незамысловатого VBScript-файла, внешне не вызывающего подозрений. Он создаёт несколько вложенных папок в каталоге локальных пользовательских данных и загружает туда пять компонентов с удалённого сервера. Среди них — легитимный установщик драйвера принтера Hewlett-Packard, который позже используется для подмены загрузки и запуска вредоносной библиотеки.
Сценарий также настраивает автозапуск через реестр и собирает информацию о системе, включая список процессов, аппаратную архитектуру и имя пользователя. Затем эти данные отправляются на тот же сервер, расположенный на IP-адресе, ранее замеченном в атаках, описанных командой ESET.
Основная вредоносная логика скрыта в библиотеке «hpbprndiLOC.dll». Она запускается через технику подмены DLL — вместе с легитимным установщиком драйвера. Этот компонент содержит обфусцированный код, ложные вызовы API и лишние логические конструкции.
ИБ-специалисты обнаружили обновлённую версию загрузчика Kazuar, который применяют участники киберопераций из группировки Turla. Этот модуль выполняет обход защитных механизмов Windows без вмешательства в системные файлы, применяет хитроумные трюки управления потоком выполнения и активно использует механизм COM. Всё это позволяет ему оставаться незаметным и затруднять анализ.
Атака начинается с незамысловатого VBScript-файла, внешне не вызывающего подозрений. Он создаёт несколько вложенных папок в каталоге локальных пользовательских данных и загружает туда пять компонентов с удалённого сервера. Среди них — легитимный установщик драйвера принтера Hewlett-Packard, который позже используется для подмены загрузки и запуска вредоносной библиотеки.
Сценарий также настраивает автозапуск через реестр и собирает информацию о системе, включая список процессов, аппаратную архитектуру и имя пользователя. Затем эти данные отправляются на тот же сервер, расположенный на IP-адресе, ранее замеченном в атаках, описанных командой ESET.
Основная вредоносная логика скрыта в библиотеке «hpbprndiLOC.dll». Она запускается через технику подмены DLL — вместе с легитимным установщиком драйвера. Этот компонент содержит обфусцированный код, ложные вызовы API и лишние логические конструкции.