FakeCERT атакует

15 марта российские банки стали объектом очередной целевой атаки, организованной при помощи рассылки вредоносных писем на почтовые адреса банковских сотрудников десятков финансовых организаций.

В принципе, в самом факте и способе проведения данной атаки нет ничего нового – буквально каждую неделю та или иная преступная группировка пытается атаковать очередной банк в России, в результате чего сообщения о краже десятков миллионов рублей со счетов того или иного банка появляются с пугающей регулярностью.

Однако этот случай заслуживает отдельного внимания. Впервые атакующие выдавали себя за FinCERT, специальный отдел в структуре Центрального банка Российской Федерации. Этот отдел был создан около года назад, его основной задачей является информирование российских банков об инцидентах информационной безопасности в финансовой сфере.

В последнее время FinCERT стал заметным игроком в области ИБ в России, особенно в свете участившихся атак на банки и все возрастающего ущерба от них. Эта известность и привлекла внимание злоумышленников, которые решили воспользоваться ею для собственной атаки.

Поддельный домен

В ночь с 14 на 15 марта атакующие зарегистрировали доменное имя fincert.net, воспользовавшись услугами российского регистратора reg.ru.

whois fincert.net

Информация о владельце домена защищена сервисом PrivacyProtect.

Кроме домена fincert.net злоумышленники зарегистрировали еще одно доменное имя – view-atdmt.com, которое было им необходимо для создания сервера, также задействованного в атаке.

whois view-atdmt.com

Видно, что оба домена были созданы ночью 15 марта с разницей в несколько часов. Физически IP-адрес 31.184.234.204 сервера, на котором был размещен домен, находится на хостинге в Санкт-Петербурге.

Последующие несколько часов злоумышленники создавали модули для заражения систем и готовились к рассылке писем по банкам.

Возможная компрометация

Примерно в 12-00 по московскому времени атакующие начали свою рассылку. Это время было выбрано ими вряд ли случайно. Предобеденное или обеденное время является весьма удобным для атак, поскольку внимание большинства рядовых сотрудников обычно в этот период снижается, и вероятность успешного использования социальной инженерии вырастает.

Согласно полученным нами данным, атакующие не просто рассылали письма с вредоносным вложением по какому-то общему списку – они точно знали, кто будет получателем письма, и в каждом письме обращались к получателю по фамилии и имени-отчеству! Мы проверили ряд адресов получателей при помощи поисковых систем – и не смогли найти эти адреса в свободном публичном доступе. Это значит, что атакующие использовали какую-то специальную базу, возможно составленную из материалов отраслевых конференций или каких-то служебных документов ряда банков.

Письма рассылались с адреса info@fincert.net (IP: 194.58.90.56), в то время как настоящий адрес FinCERT – fincert@cbr.ru.

По состоянию на утро 16 марта разосланный злоумышленниками вредоносный файл был загружен на сервис VirusTotal для проверки более 70 раз из 56 различных источников. Это может служить косвенным показателем массовой рассылки – вероятно, письма были посланы в сотни российских банков (всего их более 700).

Скриншот одного из образцов письма

В данном письме, помимо обращения к получателю, интерес представляют грамматические ошибки, допущенные в слове «компрометация», – в теме письма («компроментация») и в тексте («копроментаци»).

Но наиболее примечательная особенность – в имени файла-вложения: «20160314 – 001 — Возможная компрометация АРМ КБР. doc» (кстати, тут слово «компрометация» написано правильно). Цифровой код «20160314 – 001» совпадает с используемой настоящим FinCERT номенклатурой уведомлений об атаках.

Оригинальное уведомление 20160314-001, разосланное FinCERT за день до атаки

Это свидетельствует о том, что атакующие хорошо знакомы с информационными рассылками FinCERT, которые относительно закрыты и недоступны для широкой публики.

Макрос

Вложенный в письмо DOC файл «20160314 – 001 — Возможная компрометация АРМ КБР.doc» (MD5 5e268a88b9f5c2591ac01755601d44b0) содержит встроенный VBA макрос «NewMacros», который требует от пользователя ручной активации. Текст письма представляет собой инструкцию по запуску макроса.

Содержание документа

Трюк с макросами не нов и активно используется русскоязычными хакерами в последние годы, как в традиционных киберпреступных атаках, например, при распространении Ransomware, так и в сложных кибершпионских операциях, как, например, в истории с заражением BlackEnergy2 энергетических компаний на Украине в декабре 2015 года.

Если пользователь разрешит выполнение макроса, то произойдет его срабатывание – в данном случае будет реализована функция загрузки файла с удаленного сервера.

Информация о свойствах документа

Функционал

При запуске макроса происходит попытка соединения с удаленным ресурсом http://view-atdmt[.]com для загрузки оттуда файла fincert.cab (MD5 8ac7a1fb84357ed82cf99e53d9d89da1).

Файл размером 3 252 624 байта представляет собой самораспаковывающийся NSIS архив. На этом этапе история становится еще более интересной, поскольку файл подписан легальной цифровой подписью московской компании «СПЕК-2000».

Подпись валидна, и файл был ею подписан 15 марта – всего за несколько часов до начала рассылки. Сертификат (‎02 c3 01 f2 63 11 c6 ce f5 02 9b 69 92 f7 3f ae) был создан в декабре 2015 года и содержит все реальные данные об этой компании:

Согласно общедоступным базам данных, ООО «Спек-2000» действительно существует и находится по указанному в сертификате адресу – Москва, ул Почтовая. Вот только основным и единственным видом деятельности этой компании является перевозка грузов:

Остается загадкой для чего, кем и как компании-перевозчику грузов был выдан цифровой сертификат для подписи исполняемых файлов. Впрочем, в ситуациях, когда сертификат выдан CA COMODO, такие вопросы выглядят риторическими.

После загрузки файла в систему и его запуска происходит автоматическая распаковка содержащихся в нем приложений. Устанавливаемые файлы составляют набор удаленного администрирования на базе LiteManager 3.4.

В результате работы файлы устанавливаются в
C:\Documents and Settings\{user name}\AppData\Roaming\Microsoft\MTM

Список устанавливаемых файлов:

C:\Documents and Settings\User\Application Data\Microsoft\MTM\aledensoftipcserver.dll
C:\Documents and Settings\User\Application Data\Microsoft\MTM\avicap32.dll
C:\Documents and Settings\User\Application Data\Microsoft\MTM\Config.xml
C:\Documents and Settings\User\Application Data\Microsoft\MTM\english.lg
C:\Documents and Settings\User\Application Data\Microsoft\MTM\msimg32.dll
C:\Documents and Settings\User\Application Data\Microsoft\MTM\romfusclient.exe
C:\Documents and Settings\User\Application Data\Microsoft\MTM\ROMServer.exe

Затем приложение запускается с ключом /HIDETRAY, который используется для сокрытия его присутствия в системе:
C:\Documents and Settings\<USER>\Application Data\Microsoft\MTM\ROMServer.exe/HIDETRAY

Происходит регистрация в ключе автозапуска системного реестра для старта при каждом входе в систему:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

Вносятся параметры для работы в ключ LiteManager:
HKEY_LOCAL_MACHINE\SYSTEM\LiteManager\v3.4\Server\Parameters

Таким образом, на всех этапах данной атаки единственный вредоносный элемент – макрос в doc-файле. И это тоже является отличительной чертой современных целевых атак: злоумышленники используют легальные инструменты, чтобы затруднить обнаружение вторжения при помощи традиционных средств защиты, работающих на основе списков запрещенных.

Заключение

Данный инцидент не является уникальным или технически сложным, но все же представляет значительный интерес. Атакующие впервые использовали «бренд» FinCert, для этого атака была тщательно подготовлена – было создано соответствующее доменное имя, изучены используемые FinCERT идентификаторы. Атакующие обладают базой адресов электронной почты сотрудников сотен российских банков, вместе с их именами и фамилиями.

Использование легальных средств удаленного администрирования де-факто стало стандартом у русскоязычных группировок, специализирующихся в атаках против банков.

Ну и завершить этот рассказ можно мнением Артема Сычева, заместителя начальника главного управления безопасности и защиты информации Банка России.

Индикаторы атаки

C2:
fincert[.]net
view-atdmt[.]com
31.184.234.204

MD5:
5e268a88b9f5c2591ac01755601d44b0 (doc)
8ac7a1fb84357ed82cf99e53d9d89da1 (cab)
55f2086dd5e072b537d94a2b927e7231 (english.lg)
7f9fc92f7e11c91ae125df4957a1a1ec (config.xml)
5e1bb1ef11e8c0fd2100ef94066edd6b (romfusclient.exe)
425a2f519cf5d07f90519cc44c51f2c6 (aledensoftipcserver.dll)
4437eb2de4142ba94025e27ea016dcef (msimg32.dll)
8b3a5d2448c4127e3889d119f6f77d43 (avicap32.dll)
1a12e3398b628174738471ba0ca07d6e (romserver.exe)

Verdict:
Trojan-Downloader.VBS.Agent.bhw