Описание вредоносного ПО

Не поминайте лихом: новая целевая кампания Angry Likho

Введение

С середины 2024 года мы фиксируем возрастающее количество атак на российские и белорусские организации с использованием бэкдора DarkTrack. Это старое вредоносное ПО, впервые появившееся девять лет назад. В текущей кампании используется версия бэкдора, собранная в 2018 году, однако это не мешает злоумышленникам активно ее распространять. Мы полагаем, что за этими атаками стоит группировка Angry Likho (также известная как Sticky Werewolf), активная с 2023 года.

Технические детали

Самораспаковывающийся архив

Атака начинается с фишингового письма с вредоносным архивом .rar или .zip во вложении. Внутри находится исполняемый файл с двойным расширением *.docx.exe или *.pdf.exe и иконкой для маскировки под соответствующие документы. Далее представлены примеры имен архивов и их содержимого, замеченных в атаках:

Дополнительное соглашени.pdf.rar/Дополнительное соглашени.pdf.exe
Договор АО-НПФ-[redacted]-№-12904.pdf.rar/Договор АО-НПФ-[redacted]-№-12904.pdf.exe
Дополнительное соглашение к договору ТД-3869-24.pdf.rar/Дополнительное соглашение к договору ТД-3869-24.pdf.exe
Трудовая книга.docx.rar/Трудовая книга.docx.exe
Копия трудовой.docx.rar/Копия трудовой.docx.exe
Перечень комплектующих.pdf.rar/Перечень комплектующих.pdf.exe

Исполняемый файл — это инсталлятор NSIS (Nullsoft Scriptable Install System). Он извлекает из себя и запускает самораспаковывающийся архив в формате CAB. В некоторых случаях он также создает на диске и открывает документ Word для отвлечения внимания.

Пример документа-приманки

Пример документа-приманки

Общая схема заражения

Общая схема заражения

Вредоносный скрипт

Самораспаковывающийся CAB-архив создает на диске и запускает обфусцированный VB- или BATCH-скрипт, который, в свою очередь, запускает powershell.exe c еще одним скриптом в качестве аргумента командной строки. BATCH-файл содержит простую проверку на виртуальную среду, использующую QEMU, VBS — проверку имени компьютера. Если в нем содержится строка, характерная для песочниц ( MAA1) или виртуальных сред ( -PC), скрипт завершает работу.

Содержимое обфусцированного (слева) и деобфусцированного (справа) BATCH-скриптов

Содержимое обфусцированного (слева) и деобфусцированного (справа) BATCH-скриптов

Содержимое обфусцированного (слева) и деобфусцированного (справа) VB-скриптов

Содержимое обфусцированного (слева) и деобфусцированного (справа) VB-скриптов

И VBS, и BATCH выполняют PowerShell-скрипт, функциональность которого сводится к следующему: выкачать по встроенным URL-адресам файл с изображением, извлечь из него загрузчик Ande Loader, загрузить в память собственного процесса и передать ему управление. В рассмотренном случае картинка с Ande Loader располагалась по следующим адресам:

Загрузчик и полезная нагрузка

Загрузчик Ande Loader закодирован с помощью Base64. Границы его кода обозначены тегами <<BASE64_START>> и <<BASE64_END>> в конце файла с изображением. Ande Loader загружается в память динамически при помощи Reflection Assembly. Загрузив Ande Loader, PowerShell-скрипт вызывает в нем метод la, принадлежащий классу testpowershell.Home, одним из аргументов которого является еще один URL, передаваемый в перевернутом виде.

Декодированное содержимое PowerShell-скрипта

Декодированное содержимое PowerShell-скрипта

Ande Loader широко используется в хакерских атаках на компании по всему миру, и существует множество его образцов и обфусцированных версий. Ранее мы видели этот загрузчик в следующих вариациях:

  • с внутренним именем document.exe, использующим класс PROJETOAUTOMACAO.VB.Home и метод VAI с шестью аргументами;
  • с внутренним именем Fiber.dll, использующим класс Fiber.Home и метод VAI с тремя аргументами;
  • с внутренним именем ClassLibrary3.dll, использующим класс ClassLibrary3.Class1 и метод Run с одним аргументом (вариант 2020 года).

В атаке, исследуемой в этой статье, мы обнаружили модификацию с внутренним именем testpowershell.exe. Метод la скачивает полезную нагрузку по переданному URL-адресу. Она представляет собой перевернутую строку, закодированную при помощи Base64. Далее метод меняет порядок символов в строке на обратный, заменяет + на DgTre и декодирует строку, после чего создает процесс RegAsm.exe и внедряет в него расшифрованное содержимое. В этом содержимом можно легко опознать вредоносный исполняемый файл, относящийся к семейству троянцев удаленного доступа DarkTrack. Для загрузки бэкдора DarkTrack использовался следующий адрес:

Подобный многоступенчатый способ скачивания полезной нагрузки не нов. Первые VB-скрипты, запускающие PowerShell с аналогичными аргументами, такой же схемой загрузки и именами переменных, обнаружились в 2020 году и использовались в атаках по всему миру.

Командная строка PowerShell в образцах 2020 (сверху) и 2024 (снизу) годов

Командная строка PowerShell в образцах 2020 (сверху) и 2024 (снизу) годов

Декодированные скрипты PowerShell 2020 (сверху) и 2024 (снизу) годов

Декодированные скрипты PowerShell 2020 (сверху) и 2024 (снизу) годов

Криптор Nano Shield

В процессе исследования мы обнаружили, что файл с изображением, содержащим закодированный модуль, очень похожий на загрузчик Ande Loader ( testpowershell.exe), участвующий в нашей цепочке, распространялся через сайт nanoshield[.]pro.

Информации на этом сайте практически нет, за исключением рекламы криптора, защищающего файлы пользователя от обратной разработки и ложных срабатываний антивирусных систем.

Сайт Nano Shield

Сайт Nano Shield

Ниже представлен пример изображения, размещенного в апреле на этом сайте, и скриншот зашифрованного в изображении модуля.

Изображение с сайта Nano Shield

Изображение с сайта Nano Shield

Закодированный testpowershell.exe в конце файла с изображением

Закодированный testpowershell.exe в конце файла с изображением

Загружаемый с сайта модуль и загрузчик Ande Loader ( testpowershell.exe), который использовался в исследуемой цепочке заражения, оказались практически идентичны.

Сравнение классов и методов модулей testpowershell.exe с сайта Nano Shield (слева) и в исследуемой атаке (справа)

Сравнение классов и методов модулей testpowershell.exe с сайта Nano Shield (слева) и в исследуемой атаке (справа)

Внутри Ande Loader, распространяемого через сайт Nano Shield, оказался VBS-файл с уже знакомым нам содержимым, из которого мы извлекли PowerShell-скрипт, аналогичный обнаруженному ранее.

Скрипты VBS (слева) и PowerShell (справа), извлеченные из загрузчика с сайта Nano Shield

Скрипты VBS (слева) и PowerShell (справа), извлеченные из загрузчика с сайта Nano Shield

Согласно нашей телеметрии, помимо картинок, на сайте также присутствовали и зашифрованные TXT-файлы, содержащие образцы вредоносных программ из различных семейств: NanoCore, Agent Tesla, RedLine, AsyncRAT. Все файлы располагались в одной директории: nanoshield[.]pro/files.

Примеры вредоносных адресов из нашей телеметрии

Примеры вредоносных адресов из нашей телеметрии

Сторонние сервисы

Мы также нашли ветку на GitHub, созданную от имени владельца ресурса Nano Shield, в которой он просит разработчиков популярного блокировщика рекламы и нежелательного контента для браузеров uBlock Origin разблокировать его сайт. Автор сообщения утверждает, что, скорее всего, его сайт взломали. О вредоносных файлах в директории nanoshield[.]pro/files/ он якобы был не в курсе и все удалил, как только обнаружил. А вот картинка new_image2.jpg и ее содержимое, по словам автора, — это части легитимного обфускатора, и ничего вредоносного в них нет. Программа предназначена лишь для защиты от обратной разработки, а злоумышленники воспользовались ей, чтобы зашифровать вредоносные файлы.

Заявление может показаться правдоподобным. Однако в августе 2021 года на одном из хакерских форумов от имени владельца того же ресурса Nano Shield было опубликовано объявление о продаже криптора, использующего загрузчики VB- и BATCH-скриптов, который способен преодолеть защиту Windows Defender и совместим со множеством различных бэкдоров, троянцев и стилеров. Контактные данные, размещенные в объявлении, совпадают с данными на сайте Nano Shield.

Исследуя аналогичные атаки, мы обнаружили другой PowerShell-скрипт, доставляющий бэкдор DarkTrack в систему жертвы. В этом скрипте загрузчик скачивался по следующему адресу:

Под таким же названием, new_image2.jpg, загрузчик Ande Loader распространялся через сайт Nano Shield:

Кроме того, в репозитории Bitbucket, содержащем загрузчик, мы отметили активность пользователя Nano.

Возможно, это просто совпадения. Однако мы предполагаем, что после блокировки сайта Nano Shield за размещение на нем вредоносного ПО автор решил перейти к более безопасной схеме распространения, без задействования собственного сайта в качестве хостинга.

Изучив скрипты и Ande Loader, мы делаем вывод, что как минимум часть исследуемой атаки проводилась с использованием стороннего сервиса по распространению вредоносного ПО. Так, в репозиториях сервиса bitbucket.org, в которых располагалась вредоносная нагрузка в виде бэкдора DarkTrack, обнаружились десятки образцов другого вредоносного ПО, и лишь часть из них применялась против российских пользователей.

Зашифрованные вредоносные файлы в репозитории на bitbucket.org

Зашифрованные вредоносные файлы в репозитории на bitbucket.org

Связь с другими атаками

Принимая во внимание, что атакующие используют сторонние сервисы для размещения и загрузки вредоносных файлов, мы смогли провести параллели с некоторыми другими атаками. Так, в сообщении на сайте CERT Украины говорится об атаке группировки UAC-0050 на бухгалтерские системы с целью кражи денежных средств. В этом сообщении упоминаются аналогичные VBS-, BAT- и PowerShell-скрипты, использующие те же репозитории на bitbucket.org, которые мы обнаружили в атаках на российских пользователей. Однако в отличие от российских, украинские системы были атакованы с помощью бэкдора Remcos, который также загружался через вышеупомянутые репозитории.

По нашим предположениям, это пересечение инфраструктур возникло из-за того, что различные группы злоумышленников обратились к одному сервису по распространению вредоносного ПО, который использует Bitbucket для размещения файлов.

Атрибуция

В атаках, проведенных по вышеописанной схеме, использовались инсталляторы NSIS. Этот инструмент мы ранее наблюдали в кампаниях группы Angry Likho. Кроме того, мы отмечаем аналогичный принцип именования инсталляторов, что позволяет нам приписать описанную вредоносную активность группе Angry Likho с низкой степенью уверенности.

Жертвы

За последние полгода мы зафиксировали несколько сотен аналогичных атак на пользователей в России и несколько десятков — на пользователей в Беларуси. При этом мы отмечаем рост количества жертв, из чего можно сделать вывод о том, что злоумышленникам удается успешно проводить целевые кампании за счет правдоподобных фишинговых писем и многоступенчатого механизма загрузки зловреда.

Количество уникальных пользователей, подвергшихся атакам Angry Likho, июнь–октябрь 2024 г. (скачать)

Заключение

Атаки Angry Likho на российские и белорусские организации продолжаются. Несмотря на то что группа использует старый бэкдор DarkTrack, ей удается оставаться незамеченной за счет сложного механизма доставки полезной нагрузки в систему жертвы. Тщательно подготовленные фишинговые письма свидетельствуют о целевом характере этих атак. С помощью таких писем запускается цепочка заражения, состоящая из самораспаковывающегося архива и двух последовательно выполняющихся скриптов, в результате чего на устройство жертвы скачивается изображение, в котором содержится загрузчик Ande Loader. Мы уже видели этот загрузчик в ранних атаках группы, однако в текущей кампании он использовался для скачивания закодированного и зашифрованного бэкдора DarkTrack. Исследование инфраструктуры злоумышленников показало, что в их арсенале имеется множество других вредоносных инструментов: стилеры и троянцы удаленного доступа. Кампания с многоступенчатым алгоритмом сокрытия полезной нагрузки по-прежнему активна: мы отмечаем рост количества зараженных пользователей и продолжаем отслеживать активность группы Angry Likho.

Индикаторы компрометации

Адреса из VB-скриптов для скачивания Ande Loader (testpowershell.exe)
https://bitbucket[.]org/gdffffffff/ddddd/downloads/img_test.jpg?11811735
https://raw.githubusercontent[.]com/santomalo/audit/main/img_test.jpg?14441723
https://bitbucket[.]org/hgdfhdfgd/test/downloads/new_image2.jpg?14461721
https://bitbucket[.]org/hgdfhdfgd/test/downloads/new_image.jpg?14441723
https://bitbucket[.]org/hgdfhdfgd/test/downloads/new_image.jpg?13441721
https://bitbucket[.]org/shieldadas/gsdghjj/downloads/img_test.jpg?11811735
https://bitbucket[.]org/hgdfhdfgd/test/downloads/new_image.jpg?11811735
https://nanoshield[.]pro/new_image2.jpg?166354725

Адреса из VB-скриптов для скачивания DarkTrack
https://bitbucket[.]org/rfd344/erd/downloads/hAAadFS.txt
https://bitbucket[.]org/fwfsfw/fwf/downloads/mgSkkIf.txt
https://bitbucket[.]org/fasf24124/fdgfytrj/downloads/roAScpm.txt
https://bitbucket[.]org/rulmerurk/ertertqw/downloads/se16.txt
https://bitbucket[.]org/sdgw/sdge/downloads/serv.txt

C2 DarkTrack
45.143.166.100
94.156.79.57

Не поминайте лихом: новая целевая кампания Angry Likho

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике