Совсем недавно в нашем специализированном блоге Securelist для экспертов по информационной безопасности появилась публикация о кибернападении на российские промышленные предприятия. Атака использовала бэкдор PhantomPyramid, который с большой долей вероятности связывают с группировкой Head Mare. Метод вторжения был довольно типичным – электронное письмо с якобы секретными данными и прикреплённым архивом, пароль к которому указывался в тексте сообщения. Однако оригинальным способом стало скрытие зловредного кода в обманчиво безопасном файле через технологию polyglot.
Полиглот-техника: суть метода
Согласно матрице MITRE ATT&CK, polyglot-файлы представляют собой объекты, обладающие двойной природой и меняющие поведение в зависимости от программы, в которой их открывают. Эта техника маскировки позволяет вредоносным объектам имитировать безвредные форматы – изображения или документы, оставаясь незамеченными как для пользователей, так и для некоторых систем защиты. При этом содержимое может включать код на нескольких языках программирования одновременно.
Злоумышленники экспериментируют с различными комбинациями форматов. Например, аналитики Unit42 изучали атаку с файлом справки (.chm), который одновременно функционировал как HTML-приложение (.hta). В других случаях исследователи обнаруживали JPEG-изображение (.jpeg), содержащее внутри PHP-архив (.phar). В рассмотренном нашими специалистами инциденте внутри zip-архива был скрыт исполняемый модуль.
Применение polyglot-файла в атаке PhantomPyramid
Переданный злоумышленниками файл имел расширение .zip и нормально открывался архиваторами. Однако реально это был исполняемый бинарный объект, к которому присоединили небольшой ZIP-контейнер.
Внутри находился ярлык с двойным расширением .pdf.lnk. Когда жертва, полагая, что работает с PDF-документом, запускала его, ярлык активировал PowerShell-скрипт. Этот сценарий позволял интерпретировать вредоносный ZIP как исполняемый файл, параллельно создавая в временной папке фальшивый PDF-документ для отвлечения внимания.
Меры безопасности
Чтобы предотвратить выполнение вредоносных инструкций, необходимо оснащать все интернет-подключённые устройства современными защитными решениями. Поскольку большинство атак начинается с электронной переписки, критически важно внедрить средства защиты на уровне почтового шлюза организации.
Для оперативного отслеживания применяемых злоумышленниками методик рекомендуем использовать актуальную информацию об угрозах, предоставляемую сервисами Threat Intelligence.