Хакери, що заразили CCleaner бекдором, планували інфікувати мережі Google, Cisco, Microsoft шкідливим програмним забезпеченням ShadowPad.
Зламані CCleaner хакери готували третій етап шкідливої кампанії
Хакери, що заразили CCleaner бекдором, планували інфікувати мережі Google, Cisco, Microsoft та ін шкідливим програмним забезпеченням ShadowPad.
Дослідники компанії Avast повідомили нові відомості про гучний минулорічний інцидент з CCleaner. Згідно з представленою на конференції SAS у Мексиці доповіддю, хакери, які атакували інфраструктуру CCleaner і впровадили в утиліту бекдор, готувалися до зараження інфікованих комп'ютерів третім варіантом шкідливого ПЗ, повідомляє Bleeping Computer.
Нагадаємо, інцидент мав місце у вересні 2017 року, коли дослідники Avast виявили, що у 32-розрядні версії CCleaner v5.33.6162 та CCleaner Cloud v1.07.3191 було впроваджено інфостилер. За словами експертів, шкідливість інфікувала близько 2,7 млн комп'ютерів, проте викрадала лише базову. інформацію, таку як ім'я комп'ютера та дані про домен.
Як з'ясувалося пізніше, впровадження інфостилера було лише першим етапом масштабної кампанії, призначеним для виявлення комп'ютерів, що належать до внутрішніх мереж великих технологічних компаній, таких як Google, Cisco, Oracle, Intel, Akamai, Microsoft та ін. Під час другого етапу зловмисники заразили шкідливим програмним забезпеченням лише 40 комп'ютерів, виявлених у цих мережах. На думку експертів Avast, Cisco Talos і «Лабораторії Касперського», відповідальність за атаки лежить на кіберзлочинному угрупуванні Axiom, що, ймовірно, має китайське походження.
Згідно з представленою на конференції в Мексиці доповіддю, зловмисники також готували третій етап своєї кампанії. На комп'ютерах співробітників Piriform (компанії-розробника CCleaner, придбаної Avast у липні 2017 року) було виявлено зразок третього шкідливого програмного забезпечення, присутній там ще з 12 квітня 2017 року. Хакери використовували мережі Piriform для підготовки основного злому, вважають експерти.
Йдеться про багатофункціональний модульний фреймворк ShadowPad. Шкідливість оснащений цілим набором плагінів, призначених для різних цілей. Зокрема, вони виконують функції бекдору, кейлоггера та інфостилера. Судячи з лог-файлів на заражених комп'ютерах Piriform, в даному випадку хакери мали намір використовувати ShadowPad як кейлоггер.
На думку фахівців Avast, ShadowPad мав використовуватися на третьому етапі шкідливої кампанії. Проте дослідники безпеки виявили заражену версію CCleaner до запуску третього етапу і плани зловмисників були засмучені.
