Компания Palo Alto Networks сообщает об атаке, предпринятой против финансовых и технологических организаций Саудовской Аравии в мае 2016 года.
Неизвестные злоумышленники использовали троян Helminth, который маскирует взаимодействие с командным сервером под запросы DNS. Специалисты компании полагают, что за атакой стоят те же люди, которые в прошлом атаковали саудовский ВПК.
Троян распространяется методами прицельного фишинга. Выбранные злоумышленниками жертвы получают электронные письма, предлагающие услуги или техническую поддержку. К письмам прилагается таблица Excel с вредоносным макросом, который скачивает и устанавливает Helminth. Основная версия трояна состоит из двух скриптов: update.vbs, написанного на VBScript, и dns.ps1 для PowerShell.
Первый скрипт отправляет на командный сервер запросы HTTP, а затем загружает дополнительные файлы или исполняет присланные команды. Скрипт Dns.ps1 использует более хитрый метод. Он отправляет командному серверу запросы DNS, переводит присланные IP-адреса в символы и складывает из них новый скрипт. Так продолжается до тех пор, пока сервер не вернёт адрес «35.35.35.35». Это сигнал. Получив его, dns.ps1 прекращает атаковать сервер запросами и запускает результат своей работы.
Существует ещё одна версия Helminth. Она действует по тому же принципу и подключается к тем же командным серверам, но представляет собой не скрипт, а полноценное приложение Windows. Именно ему червь обязан своим именем.
Исследователи обнаружили, что в отладочной информации исполняемого файла сохранилось название каталога, которое использовал разработчик: E:\Projects\hlm updated\Helminth\Release\Helminth.pdb. История регистрации доменов, на которых размещены командные серверы, позволяет предположить, что организаторы атаки базируются в Иране.
