Инциденты

Бэкдор DCRat рассылался под видом «федерального антивируса»

В середине марта российские СМИ сообщили о целевой почтовой рассылке, содержащей предложение установить «федеральный антивирус». Мы провели исследование этого инцидента, установили вредоносное ПО, выдававшее себя за антивирус, и провели его технический анализ. Собранной в результате расследования информацией хотим поделиться в этой статье.

Инцидент

В ночь с десятого на одиннадцатое марта была зафиксирована почтовая рассылка, содержащая призыв установить некий федеральный антивирус «Аврора», якобы разработанный МВД России в связи с возросшим числом кибератак. В теле письма присутствовали ссылка на архив, размещенный на облачном хостинг-сервисе, и пароль к этому архиву. Рассылка не была массовой, а носила таргетированный характер – об этом свидетельствуют количество обнаруженных писем, выбор целей и использованные в письмах методы социальной инженерии. По информации из СМИ её получателями были сотрудники обслуживающих организаций сферы коммунального хозяйства, общественных организаций, сферы соцобеспечения и др.

Технические детали

Архив содержал исполняемый файл (MD5 C6CD8E517C4EA9A37EC99D1340D788A4) с именем «Федеральный Ативирус Аврора.exe» (орфография сохранена), который при запуске выполнял «установку» и последующий запуск основной нагрузки в директорию %AppData%\Local\drivers\. В процессе создавались и использовались скрипт 60cHQ3GfjDw0.vbe и batch-файл GlzCfOCm.bat, служащие для запуска основной составляющей – ещё одного исполняемого файла conhost.exe (MD5 F1DAEFFB459211F7A663FC487E37AD59).

Файл conhost.exe детектируется нашим антивирусным решением как HEUR:Trojan-Spy.MSIL.Stealer.gen и относится к семейству вредоносного программного обеспечения, известному как DCRat и DarkCrystal RAT. Представители данного семейства обладают классическими возможностями бэкдоров: позволяют производить удаленное управление зараженной системой, загружать, выгружать и исполнять файлы на зараженной системе, управлять клавиатурой и буфером обмена, передавать изображение экрана. В автоматическом режиме зловред способен собирать сведения об операционной системе, установленном программном обеспечении, текущем состоянии сетевых подключений, воровать учетные данные из браузеров и криптокошельков.
Для реализации перечисленных возможностей DCRat содержит дополнительные модули, ниже приведен список содержащихся в исследуемом образце. Названия модулей соответствуют функциям, которые они выполняют.

MD5 модуля Внутреннее имя модуля
0 e1058fd719742b360db696d8d1d68e34 ActiveWindowNotifier
1 60b6a611559a27f113b51c76733f26d0 AntiAnalysis
2 20df5b3e0f6a0602789e8aedc00f62da BrowserCredentialsGrabber
3 1c5de1530b5a4c9f0c558262beaea37f BuildInstallationTweaksPlugin
4 afcf6fd7d1111a652c65f54905db07a7 TelegramSteamDiscordGrabber
5 410fc27598cc4c6be68c783a7ffbdfad ClipboardLogger
6 f45ba88db90d8f7aeb054f6e41c5c8f6 CrashLogger
7 afaf091800f911dd02018719035a9b5c CryptoStealer
8 b09428d6a12dfbccb095b977a7b9a44d DisableUAC
9 79aa81567b5e10725e3e4adbf8383e8e FileSearcher
10 790b9fb857c8d06730dde580cb3b711b ForceAdmin
11 d785afd30f0576890fd4a9ee9928a20f MessageOnStart
12 1dbcd060efc025ce949e15babc46dcfb MiscInfoGrabber
13 4db2f2f6a0bfbfdf2d9d4c5a95066df7 OBSGrabber
14 e23d15b17024c4b80e33567d2549f30d ProcessKiller
15 11a8bfd3e77d936bd3c1a61c0d17d493 RegEditorPlugin
16 61ef7c1420eeb0cacfdd57a53935a508 SimpleProcessWatchdog
17 6c50d8dc30d26a5e39d8881b09fb1e0c SystemRestorePointsCleaner
18 daf27fd362785c44d3a5a4d94c827790 TelegramNotifier
19 400aef4146b5bd7108d9ed595ebb6b14 USBSpread
20 efa9aea3cede341bbe3d6501c3e2daed UserPingCounter
21 f0b9597275ae0bd04c14f59eedf69c3d VPNGrabber
22 5881105f7710d3f0bed417d01cdc3f73 WindowsDefenderExcluder

Список модулей, извлеченных из образца DCRat

Помимо модулей зловред содержит конфигурационный файл для настройки некоторых из них.


Конфигурационный файл для модулей DCRat

В этом файле указано, например, какие окна/процессы следует попытаться закрыть модулю ProcessKiller, в каких данных заинтересован CryptoStealer, в какой Telegram-канал передаёт данные TelegramNotifier («chat_id»: «-1001721797992», «token»: «5281125229:AAHmvJoThrkq9XD4GF84nnHefIgeezrCIAs»).
Для отправки собранных в зараженной системе данных и получения дополнительных инструкций DCRat обращается к командному серверу по протоколу HTTP/HTTPS, используя POST-запрос с зашифрованными данными. Список командных серверов содержится в запакованном виде внутри DCRat и после распаковки имеет следующий вид:

Некоторые модули не включены в «исходную комплектацию» и способны загружаться дополнительно. В частности, мы зафиксировали загрузку с командного сервера отдельного модуля WebcamViewer (MD5 60A78ABEA40C2C8635962277647F551D), отвечающего за взаимодействие DCRat с веб-камерой.

Распространение DCRat

Хотя вредоносная рассылка была целевой, использованное в ней вредоносное ПО не является новым, редким или продвинутым. DCRat существует и используется злоумышленниками по всему миру уже около трёх лет, объявления о продаже различных сборок и модификации данного ВПО постоянно появляются на подпольных и хакерских форумах. Согласно данным нашей телеметрии, только с начала 2022 года попытки заражения ВПО Trojan-Spy.MSIL.Stealer.gen были предотвращены у более чем 50 тысяч пользователей по всему миру.

Тот же самый командный сервер использовался другими зловредами из того же семейства, что позволяет предположить существование схожих почтовых рассылок, осуществленных в другие даты. В частности, в период с 19 по 22 февраля 2022 года рассылались предыдущие версии DCRat, однако в качестве темы в письмах использовалась установка не антивируса, а CRM-системы.

Индикаторы компрометации (IoC)

C&C-сервер
95.214.8.52

Рассмотренная версия DCRat
C6CD8E517C4EA9A37EC99D1340D788A4
F1DAEFFB459211F7A663FC487E37AD59

Предыдущие версии DCRat идентичной конфигурации
03351B6DA21CD28F63DD95D136025A6B
1CAD04D9049D66D5686803C6E1E9653C
40C176D43619E4E7315A0A0EB3FA0377
BEE145B42F23692F3F6F679AA592F274
A337C50DE2B82B4CB13E861AF7354977
8F326D5F05C82A1B8CA8366A84AB9B08

Бэкдор DCRat рассылался под видом «федерального антивируса»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике