Группировка ExCobalt снова в обойме и обзавелась новым бэкдором на Go

Спустя месяц в копилку расследований экспертного центра безопасности Positive Technologies (PT Expert Security Center) добавилось еще одно, причем о группировке ExCobalt, за которой мы следим с ноября прошлого года. Напомним: тогда наша команда выяснила, что в составе ExCobalt есть участники небезызвестной APT-группы Cobalt (ее профайл можно посмотреть здесь), которые активны как минимум с 2016 года. ExCobalt поменяла сферу интересов и, в отличие от предшественника, специализируется на кибершпионаже и краже данных.

Этой весной группировка вновь стала заметна на киберпреступной арене и занесла в актив любопытную вредоносную программу, ранние версии которой нам уже встречались во время реагирования на инциденты в ряде российских компаний. Мы назвали найденный бэкдор GoRed — такое имя носил его первый образец, обнаруженный нашей командой.

О главных особенностях хакерского инструмента по традиции рассказываем здесь, на Хабре, а за подробностями приглашаем вас в полный отчет.

Ниточка, которая привела нас к GoRed

В ходе расследования одного из инцидентов, который был зафиксирован в марте на одном из Linux-узлов нашего клиента, мы обнаружили файл с названием scrond, «накрытый»

Чуть забегая вперед, скажем, что бэкдор GoRed оснащен множеством функций. Самые интересные из них:

• подключение оператора и выполнение команд, как у других С2-фреймворков, наподобие Cobalt Strike, Sliver и т. д.;

• получение учетных данных со скомпрометированных систем;

• сбор информации со скомпрометированных систем, например данных об активных процессах, имени узла, сетевых интерфейсах, структуре файловых систем;

• разведка в сети жертвы;

• сериализация, шифрование, архивирование и отправка собранных данных на специальный сервер, предназначенный для их хранения.

Улики, указывающие на связь с ExCobalt

В своем предыдущем отчете об атаках ExCobalt на российские компании мы упоминали домен lib.rpm-bin.link. При энумерации его каталогов было получено множество инструментов, в том числе первая версия GoRed. Кроме того, уже в рамках другого инцидента, тоже произошедшего этой весной, мы засекли активность зараженных узлов, которые связывались с серверами злоумышленников, а именно get.rpm-bin.link и leo.rpm-bin.link. GoRed также использовал static_TransportConfig, в котором были следующие C2:

• leo.rpm-bin.link,

• sula.rpm-bin.link,

• lib.rest,

• rosm.pro.

В мае 2023 года исследователи из BI.ZONE выпустили разбор атак Sneaking Leprechaun. Инструментарий группировки пересекается с найденными в открытых директориях файлами, которые описаны выше.

Вдобавок в мае уже этого года еще одни наши коллеги выпустили исследование о кластере активности Shedding Zmiy, которое тоже связано с группой ExCobalt. В седьмом кейсе их отчета рассматривается та же атака и семпл стилера GoRed c С2 (pkg.collect.net.in), который они обозначили как Bulldog Backdoor.

За последний год команда PT Expert Security Center обнаружила и расследовала совершенные ExCobalt инциденты в отечественных компаниях в госсекторе, сферах металлургии, телекоммуникаций, горной промышленности и ИТ.

Разбираем GoRed по винтикам

Познакомиться с основными вехами развития бэкдора можно в полном отчете, так как далее мы сосредоточимся на последней версии — 0.1.4. Сначала опишем структуру внутренних пакетов и их назначение — это поможет лучше разобраться в функциональных возможностях вредоносной программы.

Для понимания работы потока управления наша команда нарисовала упрощенную схему.

Этап № 1. Начало выполнения

Поток управления базируется на command line (далее — cli). Но прежде чем передать управление cli, будут проинициализированы несколько команд, описанных далее:

• команда service,

• подкоманда gecko.

Первой будет проинициализирована команда service, которая осуществляет закрепление в системе. Структура команды GoRed для cli выглядит следующим образом:

С точки зрения идентификации выполняемых команд самые интересные поля этой структуры следующие:

• Name — имя команды.

• Usage — описание команды.

• Action — функция, которая будет выполнена при вызове команды.

• Subcommands — подкоманды для текущей команды.

Далее в переменную app будет проинициализирована структура самой cli.

Структура app представлена ниже.

Здесь самыми информативными для идентификации команд полями также являются следующие:

• Name — имя текущей команды.

• Action — функция, которая будет выполнена.

• Commands — подкоманды текущей команды.

Помимо этого, будет инициализировано поле Commands для структуры app.

После происходит получение значения поля Logging из структуры embedded_Config. Затем поток управления переходит к cli.

Мы рассмотрели только старт работы бэкдора. Остальные этапы (для тех, кто хочет погрузиться глубже) описываются в расширенном исследовании. Там же можно почерпнуть информацию о конфигурациях GoRed (транспортной и встроенной), его протоколах общения с оператором, фоновых и вызываемых командах.

Эволюция почерка

Наше исследование показывает, что группировка ExCobalt продолжает активно атаковать российские компании. Киберпреступники не стоят на месте и постоянно пополняют арсенал новыми инструментами и техниками, не забывая при этом совершенствовать существующие. Яркий пример этого — бэкдор GoRed, который приобрел новые возможности сбора данных с жертв. Такие признаки говорят о стремлении (и готовности!) ExCobalt выполнять более сложные и эффективные взломы. Злоумышленники также научились быть незаметнее при шпионаже за счет повышения скрытности в атакованных системах и в коммуникациях с управляющими серверами.

Точные удары по компаниям

Проявляя гибкость и адаптивность, группировка действует решительно. Так, атакующие вооружаются патченными утилитами, с помощью которых легко обходят защитные меры. Кроме того, они скрупулезно ищут слабые места в инфраструктуре намеченных жертв и результативно эксплуатируют обнаруженные уязвимости. Этот подход позволяет им проводить все более изощренные нападения.

Больше отчетов PT Expert Security Center, посвященных новым образцам ВПО, активности APT-группировок, техникам и инструментам хакеров, можно найти в блоге.

---