Специалисты компании SentinelOne обнаружили вредонос — дроппер, принимающий сложный комплекс мер против обнаружения и нацеленный на компании энергетической отрасли. Вирус, который в SentinelOne назвали Furtim's Parent, размещается не в виде файла, а внедряется в метаданные NTFS и запускается на ранней стадии загрузки системы.
При первом запуске вредонос проводит обстоятельное обследование, ища виртуальные машины, «песочницы», антивирусы, межсетевые экраны и инструменты, применяемые аналитиками по кибербезопасности. Если что-то из таких программ обнаруживается, вирус завершает работу, в других случаях он может ограничить свою функциональность.
Как отмечают в SentinelOne, уровень сложности этих тестов указывает на то, что создатели имеют глубокое знание Windows и средств безопасности.
Дроппер поднимает себе привилегии рядом способов, отключает антивирусную защиту и загружает дополнительные вредоносы, в частности, шпионскую программу.
Отмечая, что анализ вируса сильно затруднен, исследователи высказывают предположение, что Furtim's Parent — результат труда группы разработчиков с доступом к значительным ресурсам. В SentinelOne также напоминают, что энергетические компании уже становились жертвой кибератак, организованных, по всей видимости, спецслужбами.