Группировка DarkUniverse может иметь отношение к вредоносным кампаниям ItaDuke.
В 2017 году киберпреступная группировка The ShadowBrokers обнародовала архив с вредоносным ПО и хакерскими инструментами, похищенными у группировки Equation Group, которую эксперты в области кибербезопасности связывают с Агентством национальной безопасности США. Данный архив, помимо прочего, содержал скрипт, позволивший выйти на след некой APT группы, получившей название DarkUniverse.
По данным специалистов «Лаборатории Касперского», группировка была активна в течение как минимум восьми лет — с 2009-го по 2017-й годы. Эксперты полагают , что DarkUniverse может иметь отношение к вредоносным кампаниям ItaDuke, в рамках которых эксплойты нулевого дня для уязвимостей в PDF-документах использовались для загрузки вредоносных программ, а учетные записи Twitter — для хранения URL-адресов C&C-сервера.
Группировка DarkUniverse распространяла вредоносное ПО методом «целевого фишинга». Для каждой жертвы формировалось отдельное письмо с целью привлечь ее внимание и заставить открыть вложенный вредоносный документ Microsoft Office.
Каждый образец вредоносного ПО был скомпилирован непосредственно перед отправкой и содержал последнюю доступную версию исполняемого файла вредоносного ПО. Встроенный в документы вредонос содержал два вредоносных модуля (updater.mod и glue30.dll). Первый отвечал за связь с управляющим сервером, а также загрузку дополнительных вредоносных модулей, второй действовал в качестве кейлоггера. Для запуска библиотеки updater.mod использовался rundll32.exe. Модуль updater.mod отвечал за обеспечение связи с C&C-сервером, обеспечение целостности и персистентности вредоносных программ, а также управление другими вредоносными модулями.
Помимо указанных функций, updater.mod загружал ряд дополнительных модулей, таких как dfrgntfs5.sqt (для выполнения команд с C&C-сервера), msvcrt58.sqt (для кражи почтовых учетных данных и содержимого электронных писем), zl4vq.sqt (легитимная библиотека zlib, используемая модулем dfrgntfs5) и %tims_ID%.upe (дополнительный плагин для dfrgntfs5).
Вредоносный модуль glue30.dll обеспечивал функциональность кейлоггинга. Модуль updater.mod использовал функцию Win API SetWindowsHookExW для перехвата нажатий на клавиатуру и внедрения glue30.dll в процессы, получающие данные о вводе с клавиатуры. Модуль msvcrt58.sqt перехватывал незашифрованный POP3-трафик для сбора сообщений электронной почты и учетных данных жертв, анализировал его и отправлял результат основному модулю (updater.mod) для загрузки на C&C-сервер. Модуль dfrgntfs5.sqt представлял собой наиболее функциональный компонент среды DarkUniverse. Он обрабатывал огромный список команд с C&C-сервера.
Исследователи выявили около 20 жертв, находящихся в Сирии, Иране, Афганистане, Танзании, Эфиопии, Судане, России, Беларуси и Объединенных Арабских Эмиратах, однако они считают, что число пострадавших может быть намного больше. Среди пострадавших были как гражданские, так и военные организации.
