Срочно, фишинг! Как хакеры со стажем атакуют госорганы

от автора

В ноябре 2024 года сотрудники одной из российских государственных организаций обнаружили фишинговую рассылку и обратились за помощью к нашей команде. В ходе расследования мы выяснили, что атака – часть фишинговой кампании, нацеленной на сотрудников государственных организаций России и Белоруссии, за которой стоит группировка Cloud Atlas.

Полный отчет по данной атаке можно почитать в расширенном исследовании на сайте, а также раннее мы уже описывали активность группировки в отчете APT Cloud Atlas: Unbroken Threat.

Срочно, фишинг!

На скриншотах ниже представлен пример фишингового письма, отправленного якобы Министерством связи и информатизации Республики Беларусь.

Пример фишингового сообщения

Пример фишингового сообщения

Рассылка осуществлялась с адресов @internet.ru. Такой домен почтового адреса можно получить при регистрации на сервисе mail.ru.

Создание почтового ящика

Создание почтового ящика

Если ранее в качестве документа-приманки Cloud Atlas, как правило, использовала тексты, связанные с текущей геополитической обстановкой, то в рамках этой кампании документы представляли собой запросы о предоставлении определенного рода информации: о выполнении тех или иных поручений или о должностных лицах.

Обнаруженные нами в ходе расследования инцидента вредоносные документы использовали технику удаленной загрузки шаблона (Template injection).

На скриншотах ниже представлены примеры документов-приманок, которые использовали злоумышленники в ходе фишинговой кампании.

Документ-приманка (пример 1)

Документ-приманка (пример 1)

Документ-приманка (пример 2)

Ссылка на вредоносный шаблон вшита в поток 1Table вредоносного документа формата DOC.

Структура DOC-файла

Структура DOC-файла
Ссылка на вредоносный шаблон

Ссылка на вредоносный шаблон

На момент проведения фишинговой кампании вредоносные документы не детектировались средствами антивирусной защиты.

Вердикты средств антивирусной защиты на VirusTotal

Вердикты средств антивирусной защиты на VirusTotal

При запуске вредоносного документа загружается шаблон с сервера злоумышленника officeconfirm.technoguides[.]org. Когда мы начали расследование инцидента, этот сервер был уже недоступен, однако по артефактам, найденным на зараженных узлах, и срабатываниям средства антивирусной защиты мы сделали вывод, что загружаемый шаблон эксплуатировал уязвимость в компоненте Equation Editor.

Также нам удалось обнаружить результаты проверки аналогичного DOC-файла на VirusTotal: на момент загрузки образца управляющий сервер был доступен и результаты поведенческого анализа документа оказались релевантными.

В графе поведенческого анализа в песочнице C2AE был обнаружен GET-запрос к управляющему серверу, в ответ на который сервер вернул файл типа application/hta. Данный запрос был осуществлен через несколько секунд после запроса к вредоносному шаблону.

Запрос к вредоносному шаблону в графе поведенческого анализа

Запрос к вредоносному шаблону в графе поведенческого анализа
Запрос к HTA-файлу в графе поведенческого анализа

Запрос к HTA-файлу в графе поведенческого анализа

На зараженных узлах мы обнаружили факты выполнения вредоносных VB-скриптов, записанных в альтернативные потоки данных файлов с именем AppCache***.log по пути %APPDATA%\Microsoft\Windows. Что примечательно, VB-скрипты взаимодействуют с C2-сервером, в качестве которого используется документ Google Sheets.

Рассматриваемый VB-скрипт отправляет данные о зараженном пользователе в документ Google Sheets по API, после чего на узле выполняется код Visual Basic, записанный в другой ячейке того же листа в зашифрованном виде. В результате выполнения таких команд на зараженные узлы доставлялись экземпляры других инструментов группировки Cloud Atlas. В частности, был доставлен бэкдор PowerShower, выполняющий команды, полученные с C2-сервера mehafon[.]com (подробнее — в расширенном исследовании в разделе «Анализ ВПО»).

Следы закрепления PowerShower также были обнаружены в ключе автозапуска:

Canon_upd — powershell -ep bypass -w 01 «%AllUsersProfile%\Canon\CanonHost.ps1»

Таким же образом было доставлено ВПО, использующее технику DLL Side-Loading и маскирующееся под компоненты Cisco Webex:

  • %APPDATA%\Cisco\CiscoCollabHost.exe;

  • %APPDATA%\Cisco\CiscoSparkLauncher.dll.

Легитимный уязвимый файл CiscoCollabHost.exe вызывает функцию SparkEntryPoint библиотеки CiscoSparkLauncher.dll, расположенной в той же папке. В ней же расположен файл с полезной нагрузкой.

Фрагмент псевдокода с вызовом вредоносной библиотеки

Фрагмент псевдокода с вызовом вредоносной библиотеки

Итоговую цепочку заражения можно представить следующим образом:

Цепочка атаки

Цепочка атаки

XOR, hash суммы, байты, записанные в шестнадцатеричном виде – все про то, как были обфускацированы скрипты (и не только), можно найти в нашем исследовании 😊

Заключение

Группировка Cloud Atlas атакует государственные организации в России и Белоруссии уже на протяжении 10 лет. Арсенал Cloud Atlas не претерпел значительных изменений и злоумышленники все так же полагаются на облачные сервисы: они продолжают экспериментировать с различными популярными платформами. Особенностью этой кампании стало использование Google Sheets в качестве управляющего сервера. Группировка продолжает совершенствовать свои тактики и дорабатывать свое вредоносное ПО. Но и мы тоже не дремлем 😎

Георгий Хандожко

Специалист департамента комплексного реагирования на киберугрозы PT ESC

Александр Григорян

Заместитель руководителя департамента комплексного реагирования на киберугрозы PT ESC

Владислав Лунин

Старший специалист группы исследования сложных угроз PT ESC


ссылка на оригинал статьи https://habr.com/ru/articles/866236/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *