Жаман ниеттүүлөр өз максаттарына жетүү үчүн электрондук почта таратууларын колдонушкан. Алар жиберген каттар легитимдүү көрүнүп, зыяндуу тиркемелер же шилтемелерди камтыган; зыяндуу программа Microsoft Windows компоненттеринин жүздөрүнүн артында жашырылган.
Ошол эле учурда, сентябрда Кыргызстандагы байланыш операторлоруна жиберилген электрондук почталар мобилдик байланыш тарифтери менен кызыккан потенциалдуу кардарлардын атынан жазылган.
Алынгандар тиркемени ачканда, экранда макросун активдештирүү өтүнүчү менен сүрөт пайда болчу. Активдештирилгенден кийин, курмандыкка тарифтик план көрсөтүлүп (ал, айткандай, башка провайдерден көчүрүлгөн), максаттуу зыяндуу программа орнотулчу.
Текшерүүнүн жыйынтыгы боюнча, скрипт аркылуу жүктөлгөн бэкдор (LuciDoor деп аталган) C++ тилинде жазылган жана C2ге түздөн-түз же системалык проксилер жана курмандыктын инфраструктурасындагы башка серверлер аркылуу туташууга мүмкүнчүлүк берет. Анын функциялары инфекцияланган түзмөктөн маалыматтарды чогултуу, программаларды жүктөө жана маалыматтарды эксфильтрациялоону камтыйт.
Кыргызстандын телекоммуникацияларына каршы кайталаган чабуулдар ноябрь айында катталган. Жаман ниеттүүлөр документти жулуп алышты, бирок ошол эле катаны кетиришти — документте кабыл алуучуга туура келбеген аталыш көрсөтүлгөн. Бул чабуулда колдонулган жаңы Windows-бэкдор MarsSnake деп аталат жана буга чейин Сауд Аравиясында шпиондук чабуулдарда колдонулган.
MarsSnake бэкдору жөнөкөй жөндөө менен айырмаланат: өзгөртүүлөр жүктөөчүдө параметрлерди жаңыртуу аркылуу жүргүзүлөт, бул аткаруучу файлды кайра жыйноо зарылдыгын жокко чыгарат. Активдештирилгенден кийин, зыяндуу программа системалык маалыматтарды чогултат жана C2ге өткөрүү үчүн уникалдуу идентификатор түзөт.
«Өткөн жылы болгон чабуулдарда зыяндуу документтер орус тилинде болгон, бирок жөндөөлөрдө араб, англис жана кытай тилдери колдонулган, — деп белгиледи PT ESC TI эксперти Александр Бадаев. — Биз ошондой эле файлдарда кытай тилин колдонгондугун көрсөткөн талааны таптык. Бул жаман ниеттүүлөр Microsoft Office пакетин тиешелүү жөндөөлөр же кытай тилиндеги документ шаблону менен колдонушу мүмкүн экенин көрсөтөт».
Тажикстанда январь айында болгон чабуулдар учурунда зыяндуу тиркемелердин ордуна шилтемелер колдонулган. Макросун активдештирүү өтүнүчү менен сүрөт өзгөртүлгөн жана текст англис тилинде болгон. Максаттуу зыяндуу программа кайрадан LuciDoor болуп, бирок башка конфигурацияда.
