Эксперты Palo Alto Networks сообщили о кибернападении на финансовые и технологические организации Саудовской Аравии, организованном в мае текущего года.
Неизвестными хакерами применялась троянская программа Helminth, которая использует DNS-запросы для маскировки взаимодействия с командным сервером. По мнению специалистов компании, существует связь между этим кибернападением и атакой на предприятия саудовского военно-промышленного комплекса.
Распространение троянской программы осуществлялось с помощью методов прицельного фишинга. Электронные письма с предложением услуг или технической поддержки отправлялись пользователям, предварительно выбранным злоумышленниками. К письму был прикреплен документ Excel, содержащий вредоносный макрос, запускающий процесс скачивания и установки Helminth.
Базовый вариант троянской программы состоит из двух скриптов: update.vbs, который написан на VBScript, и dns.ps1, созданный для PowerShell. update.vbs осуществляет отправку HTTP-запросов на командный сервер, загрузку дополнительных файлов или исполнение полученных от злоумышленников команд. dns.ps1 производит отправку DNS-запросов на командный сервер, перевод присланных IP-адресов в символы, из которых в результате составляется новый скрипт. Процедура продолжается до того момента, пока сервер не отправит адрес 35.35.35.35, что является сигналом для прекращения отправки запросов.
Другая версия Helminth работает по аналогичному принципу и осуществляет подключение к тем же командным серверам, но в действительности является не скриптом, а полноценным приложением Windows.
Основываясь на истории регистрации доменов, на которых были расположены командные серверы, эксперты предполагают, что организаторы кибернападения действуют с территории Ирана.