Согласно отчету ESET, атака шифратора Diskcoder.C (Petya) была организована через сложный скрытый бэкдор, внедренный в один из легитимных модулей M.E.Doc, корпоративного ПО для подготовки отчетности и документооборота. Маловероятно, считают эксперты, что атакующие выполнили эту операцию без доступа к исходному коду программы. Атакующие получили доступ к серверу обновлений M.E.Doc и с его помощью направляли троянизированные обновления с автоматической установкой.
Изучив все обновления M.E.Doc, выпущенные в 2017 г., исследователи ESET выяснили, что модуль бэкдора содержали как минимум три апдейта: от 14 апреля, 15 мая и 22 июня. Эпидемия Diskcoder.C (Petya) началась через пять дней после выхода вредоносного обновления от 22 июня.
Кроме того, ранее, в мае, ESET фиксировала активность другого шифратора – Win32/Filecoder.AESNI.C (XData). По данным телеметрии, он появлялся на компьютере после запуска ПО M.E.Doc.
Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО – так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.
По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, эксперты ESET установили связь между эпидемией Diskcoder.C (Petya) и кибергруппой Telebots. Достоверно определить, кто стоит за деятельностью этой группировки, в настоящее время не представляется возможным.
Аналитики компании «Доктор Веб» также подтверждают причастность модуля обновления M.E.Doc к распространению как минимум еще одной вредоносной программы. По сообщениям независимых исследователей, отмечается в отчете компании, источником эпидемии шифровальщика, обозначаемого в «Доктор Веб» как Trojan.Encoder.12544 и известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления программы M.E.Doc (разработанного украинской компанией Intellect Service). В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCU\SOFTWARE\WC.
Специалисты «Доктор Веб» обратили внимание на этот ключ реестра в связи с тем, что тот же путь использует в своей работе троянец-шифровальщик Trojan.Encoder.12703. Анализ журнала антивируса Dr.Web, полученного с компьютера одного из клиентов компании, показал, что энкодер Trojan.Encoder.12703 был запущен на инфицированной машине приложением ProgramData\Medoc\Medoc\ezvit.exe, которое является компонентом программы M.E.Doc.
Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Как показало исследование, этот бэкдор может выполнять в инфицированной системе функции сбора данных для доступа к почтовым серверам, выполнения произвольных команд, загрузки на зараженный компьютер и выгрузки на удаленный сервер произвольных файлов, загрузки, сохранения и запуска любых исполняемых файлов.
Аналитики «Доктор Веб» полагают, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой. Этот компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.