Авторы
Head Mare — это хактивистская группировка, впервые заявившая о себе в 2023 году в социальной сети X (бывший Twitter)*. В своих публичных постах злоумышленники раскрывают информацию о некоторых своих жертвах, включая названия организаций, внутренние документы, украденные во время атак, а также скриншоты рабочих столов и административных консолей.
В ходе анализа инцидентов в российских компаниях мы определили, каким образом Head Mare проводит свои атаки и какие утилиты использует, а также установили связь группы с вредоносной активностью, известной как PhantomDL.
Основные выводы
- Head Mare атакует исключительно компании из России и Беларуси.
- Для первоначального доступа группа проводит различные фишинговые кампании, в которых распространяет RAR-архивы, эксплуатирующие уязвимость CVE-2023-38831 в WinRAR.
- Часть обнаруженного инструментария совпадает с уже исследованными группами, атакующими российские организации.
- Группировка шифрует устройства жертв, используя два семейства шифровальщиков — LockBit для Windows и Babuk для Linux (ESXi).
Технические детали
Исторический контекст
С начала российско-украинского конфликта появилось множество хактивистских группировок, основная цель которых зачастую заключается не в получении финансовой выгоды, а в нанесении как можно большего ущерба компаниям с противоположной стороны конфликта. Head Mare — одна из таких групп, нацеленная исключительно на организации, расположенные в России и Беларуси. Это подтверждается информацией из открытых источников и телеметрией из Kaspersky Security Network — системы сбора анонимизированных данных об угрозах, добровольно предоставленных пользователями наших решений.
Хактивистские группировки, атакующие российские организации на фоне российско-украинского конфликта, характеризуются схожими техниками и инструментами и при анализе по методике Unified Kill Chain дают примерно одинаковую картину. При этом, в отличие от других подобных группировок, Head Mare использует более актуальные методы получения первоначального доступа. Так, злоумышленники взяли на вооружение относительно свежую уязвимость CVE-2023-38831 в WinRAR, позволяющую атакующему с помощью специально подготовленного архива выполнить в системе произвольный код. Этот подход позволяет группе эффективнее доставлять и лучше маскировать вредоносную нагрузку.
Как и большинство хактивистских групп, Head Mare поддерживает публичный аккаунт в социальной сети X, где размещает информацию о некоторых из своих жертв. Ниже приводится пример такой публикации:
Публикация хактивистов Head Mare в социальной сети X
На момент проведения исследования группировка заявила о девяти жертвах из различных отраслей:
- госучреждения;
- транспорт;
- энергетика;
- производство;
- развлечения.
Конечная цель злоумышленников, вероятнее всего, — нанесение максимального ущерба компаниям из России и Беларуси. Однако, в отличие от некоторых других хактивистских групп, Head Mare также требует выкуп за расшифровку данных.
Инструментарий Head Mare
В своих атаках Head Mare в основном использует общедоступное программное обеспечение, что является характерной чертой большинства хактивистских групп, возникших на фоне российско-украинского конфликта и нацеленных на российские компании. При этом если некоторые хактивисты не имеют в своем инструментарии вообще никаких собственных разработок, то Head Mare использует для первоначального доступа и эксплуатации фишинговые письма, содержащие архивы с кастомным вредоносным ПО PhantomDL и PhantomCore.
Ниже приведен список обнаруженного программного обеспечения, которое Head Mare использует в своих атаках:
- шифровальщик LockBit;
- шифровальщик Babuk;
- PhantomDL;
- PhantomCore;
- Sliver;
- ngrok;
- rsockstun;
- XenAllPasswordPro;
- Mimikatz.
Из списка видно, что большинство использованных инструментов доступны в интернете, будь то образцы LockBit, сгенерированные с помощью общедоступного билдера, утечка которого произошла в 2022 году, или утилита Mimikatz, код которой есть на GitHub.
Первоначальный доступ
Исследуя деятельность Head Mare, мы обнаружили, что эта группировка связана с целевыми атаками на российские организации с использованием вредоносных образцов PhantomDL и PhantomCore. Обнаруженные образцы рассылались в рамках различных фишинговых кампаний в архивах с одноименными документами-приманками. Вредоносные архивы эксплуатируют уязвимость CVE-2023-38831 в WinRAR. Если жертва пытается открыть документ, который похож на легитимный, она запускает выполнение вредоносного файла. Один и тот же образец мог рассылаться в разных архивах с документами-приманками на разные темы.
Вердикты, с которыми наши продукты детектируют образцы PhantomDL: вредоносное ПО в числе прочего распознается как эксплойт к CVE-2023-38831
После выполнения PhantomDL и PhantomCore устанавливают связь с одним из командных серверов злоумышленников и пытаются распознать домен, к которому относится зараженный хост. Ниже приведены результаты динамического анализа нескольких образцов в Kaspersky Sandbox (графы детонации), которые отражают поведение вредоносной программы непосредственно после запуска.
Граф детонации образца PhantomDL, отражающий его поведение в Kaspersky Sandbox
На изображении выше образец PhantomDL подключается к серверу C2 91.219.151[.]47 по порту 80 и выполняет распознавание домена с помощью команды cmd.exe /c «echo %USERDOMAIN%».
Обращение PhantomDL к C2
Образец PhantomCore устанавливает соединение с другим C2 (45.11.27[.]232) и проверяет членство хоста в домене с помощью функции WinAPI NetGetJoinInformation.
Детонация образца PhantomCore в Kaspersky Sandbox
Подозрительная активность образца PhantomCore
Еще один образец PhantomCore после выполнения устанавливает соединение с C2 5.252.178[.]92:
Соединение PhantomCore с сервером C2
В ходе исследований мы также обнаружили несколько образцов PhantomDL и PhantomCore, о которых мы не можем с абсолютной уверенностью утверждать, что они принадлежат к тому же кластеру активности, что и сэмплы, обнаруженные в атаках Head Mare. Информацию об этих образцах можно найти в разделе «Образцы, похожие на инструментарий Head Mare».
Закрепление в системе
Злоумышленники использовали несколько методов закрепления в системе. Например, в одном из инцидентов они добавили образец PhantomCore в ключ реестра Run. После выполнения образец автоматически установил соединение с C2 атакующих 5.252.176[.]47:
Соединение PhantomCore с C2
Мы видели следующие команды на добавление значения в ключ реестра Run:
|
Команда |
Описание |
| cmd /c «cd /d $selfpath\ && reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v \»MicrosoftUpdateCoree\» /t REG_SZ /d \»$selfpath\$selfname.exe\ /f» | Добавление значения в ключ реестра Run с именем MicrosoftUpdateCoree и содержимым $appdata\Microsoft\Windows\srvhostt.exe (PhantomCore) с параметром /f (без запроса подтверждения) |
| reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v \»MicrosoftUpdateCoree\» /t REG_SZ /d \»$appdata\Microsoft\Windows\srvhostt.exe\» /f | |
| reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v \»MicrosoftUpdateCore\» /t REG_SZ /d \»$appdata\Microsoft\Windows\srvhost.exe\» /f | Аналогичный метод добавления в ключ реестра, но значение называется MicrosoftUpdateCore |
В некоторых других случаях злоумышленники создавали задачи планировщика для закрепления в системе жертвы. Следующие задачи использовались для запуска образца PhantomCore:
|
Команда |
Описание |
| schtasks /create /tn \»MicrosoftUpdateCore\» /tr \»$appdata\Microsoft\Windows\srvhost.exe\» /sc ONLOGON | Создание задачи планировщика с именем MicrosoftUpdateCore, которая запускает $appdata\Microsoft\Windows\srvhost.exe (PhantomCore) каждый раз, когда пользователь входит в систему |
| schtasks /create /tn \»MicrosoftUpdateCore\» /tr \»$appdata\Microsoft\Windows\srvhost.exe\» /sc ONLOGON /ru \»SYSTEM\ | Аналогичный метод создания задачи планировщика, но в этом случае задача запускается с привилегиями SYSTEM |
Защита от обнаружения
Как упоминалось в предыдущем разделе, злоумышленники создают задачи планировщика и значения реестра с именами MicrosoftUpdateCore и MicrosoftUpdateCoree, чтобы маскировать свою деятельность под задачи, связанные с ПО Microsoft.
Мы также обнаружили, что некоторые образцы LockBit, которые использовала группа, имели следующие названия:
- OneDrive.exe
- VLC.exe
Эти образцы находились в каталоге C:\ProgramData, маскируясь под легитимные приложения OneDrive и VLC.
В целом, многие инструменты, использованные Head Mare, имели характерные для легитимных программ названия и находились по стандартным или похожим на стандартные путям:
| Software |
Path |
| Sliver | C:\Windows\system32\SrvLog.exe |
| rsockstun | c:\Users\<user>\AppData\Local\microsoft\windows\srvhosts.exe |
| c:\Users\<user>\AppData\Roaming\microsoft\windows\srvhostt.exe | |
| Phantom | c:\windows\srvhost.exe |
| c:\Users\<user>\appdata\roaming\microsoft\windows\srvhost.exe | |
| LockBit | c:\ProgramData\OneDrive.exe |
Как видно из таблицы, злоумышленники в основном пытались замаскировать свои образцы под легитимный файл svchost.exe, расположенный в каталоге C:\Windows\System32.
В своих фишинговых кампаниях злоумышленники также использовали маскировку — файлы образцов PhantomDL и PhantomCore имели названия, соответствующие деловым документам, и двойные расширения. Вот несколько примеров, с которыми мы столкнулись:
- Счет-Фактура.pdf .exe
- договор_ №367кх_от_29.04.2024_и_доп_соглашение_ртсс 022_контракт.pdf .exe
- решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf .exe
- тз на разработку.pdf .exe
- исходящее письмо от 29.04.2024 n 10677-020-2024.pdf .exe
- возврат средств реквизиты.pdf .exe
Помимо этого, все обнаруженные нами образцы PhantomDL и PhantomCore были обфусцированы — возможно, с помощью популярного обфускатора Go под названием Garble.
Управление и инфраструктура
В ходе исследований мы обнаружили, что основным C2-фреймворком для атакующих является Sliver — C2-фреймворк с открытым исходным кодом для имитации кибератак и тестирования на проникновение. Такие фреймворки используются для управления скомпрометированными системами после первоначального доступа, позволяя злоумышленникам (или специалистам по тестированию на проникновение) выполнять команды, собирать данные и управлять соединениями.
Архитектура Sliver включает в себя агент (имплант), который устанавливается на скомпрометированные устройства для выполнения команд с сервера, сервер для управления агентами и координации их действий и клиент в виде консоли командной строки (CLI) для взаимодействия оператора с сервером. Основная функциональность Sliver включает в себя управление агентами, выполнение команд через командную оболочку, создание туннелей для обхода сетевых ограничений и автоматизацию рутинных задач с помощью встроенных скриптов.
Найденные образцы имплантов Sliver имеют конфигурацию по умолчанию и были созданы с помощью следующей команды:
|
1 |
generate --http [IP] --os windows --arch amd64 --format exe |
Чтобы замаскировать импланты, злоумышленники использовали популярный инструмент Garble, который доступен на GitHub.
Также часто в качестве C2 злоумышленники используют серверы VPS/VDS. Ниже представлен список серверов, которые мы заметили в атаках.
| IP | Первое обнаружение | ASN |
| 188.127.237[.]46 | 31 марта 2022 | 56694 |
| 45.87.246[.]169 | 26 июня 2024 | 212165 |
| 45.87.245[.]30 | — | 57494 |
| 185.80.91[.]107 | 10 июля 2024 | 212165 |
| 91.219.151[.]47 | 02 мая 2024 | 56694 |
| 5.252.176[.]47 | — | 39798 |
| 5.252.176[.]77 | 29 октября 2023 | 39798 |
На C2-серверах атакующих были найдены различные утилиты, применяемые на разных стадиях атак. Часто одни и те же утилиты присутствовали на разных серверах с одними и теми же именами файлов.
Анализ C2-инфраструктуры Head Mare
Ниже представлен список инструментов, найденных на одном из командных серверов злоумышленников.
Содержимое одной из директорий С2-сервера
| Имя утилиты | Описание |
| 2000×2000.php | PHP-шелл для выполнения команд на сервере. Этот шелл называется p0wny@shell:~# и доступнен на GitHub — hxxps://github[.]com/flozz/p0wny-shell. |
| LEGISLATIVE_COUSIN.exe | Имплант Sliver. Соединяется с 5.252.176[.]77:8888. |
| SOFT_KNITTING.exe | |
| sherlock.ps1 | Скрипт PowerShell для быстрого поиска уязвимостей для локальной эскалации привилегий, доступный на GitHub — hxxps://github[.]com/rasta-mouse/Sherlock/tree/master. |
| ngrok.exe | Утилита ngrok. |
| reverse.exe | Meterpreter. Соединяется с 5.252.176[.]77:45098 |
| servicedll.exe | Утилита nssm для управления службами. |
| sysm.elf | Unix reverse shell, использующий функцию sys_connect для подключения к C2 атакующего. Если попытка подключения не удается, программа переходит в спящий режим на 5 секунд при помощи функции sys_nanosleep, прежде чем попытаться снова. Подключается к 5.252.176[.]77:45098. |
| Xmrig* | Майнер XMRig. В известных нам атаках не использовался. |
Получение доступа к закрытым сегментам сети (pivoting)
Pivoting представляет собой набор методов, которые позволяют злоумышленнику получить доступ к частным сегментам сети, используя скомпрометированные машины в качестве промежуточных узлов. Для этой цели атакующие используют утилиты ngrok и rsockstun.
Rsockstun — это утилита для создания обратного туннеля SOCKS5 с поддержкой SSL и прокси-серверов. Он позволяет клиенту за NAT или брандмауэром подключаться к серверу через безопасное соединение и использовать SOCKS5 для перенаправления трафика.
Мы проанализировали код утилиты и определили ее основные функции:
| Клиент | Сервер |
| Функция ConnectViaProxy:
● Устанавливает соединение с конечным сервером через прокси. Функция ConnectForSocks: ● Устанавливает соединение с сервером через SOCKS5. |
Функция listenForSocks:
● Ожидает подключения клиентов через SSL. Функция listenForClients: ● Ожидает подключения локальных клиентов. |
Фрагмент кода rsockstun, содержащий один из адресов C2 Head Mare
Ngrok — это кросс-платформенная утилита, предназначенная для создания безопасных туннелей к локальным веб-серверам через интернет. Она позволяет быстро и легко открыть доступ к локальным службам и приложениям, предоставляя публичные URL-адреса, которые могут быть использованы для доступа к серверу извне.
Исследование сети
Успешно закрепившись на первоначальном узле, злоумышленники выполняют серию команд для дальнейшего изучения узла, домена и сетевой среды:
| Команда | Описание |
| cmd /c «echo %USERDOMAIN%» | Получение доменного имени жертвы |
| arp -a | Получение кэша ARP для всех сетевых интерфейсов в скомпрометированной системе |
| «cmd /c «cd /d $selfpath && whoami | Сбор информации об имени и домене текущего пользователя |
| cmd /c «cd /d $appdata && powershell Get-ScheduledTask -TaskName «WindowsCore» | Поиск запланированного задания с именем WindowsCore |
Сбор учетных данных
Для сбора учетных данных злоумышленники используют утилиту mimikatz.
Помимо этого, для получения дополнительных учетных данных из системы злоумышленники используют консольную версию утилиты XenArmor All-In-One Password Recovery Pro3 (XenAllPasswordPro), которая может извлекать учетные данные пользователей из ульев реестра.
|
1 2 |
"c:\ProgramData\update\XenAllPasswordPro.exe" -a "c:\ProgramData\update\report.html" |
Конечная цель: шифрование файлов
Изучая атаки Head Mare, мы обнаружили использование двух семейств шифровальщиков:
- LockBit для Windows
- Babuk для ESXi
Babuk
Обнаруженный нами вариант Babuk представляет собой 64-битную сборку для ESXi, созданную с помощью общедоступного конфигуратора. Троянец использует стандартные алгоритмы шифрования для сборок Babuk для ESXi — X25519 + SHA256 + Sosemanuk, а также стандартное расширение для зашифрованных файлов *.babyk.
Результаты Kaspersky Threat Attribution Engine для найденных образцов Babuk
Характерными особенностями обнаруженного троянца являются:
- Возможность вести журнал своей деятельности в /tmp/locker.log.
- Возможность уничтожения запущенных виртуальных машин, список которых взят из файла vm-list.txt. Этот файл заполняется при вызове команды esxcli vm process listd.
Найденный образец Babuk шифрует файлы со следующими расширениями:
| .vmdk | .vmem | .vswp |
| .vmsn | .bak | .vhdx |
После завершения шифрования он оставляет записку о выкупе. Ниже приведен пример записки, которая содержит уникальный идентификатор для мессенджера Session и сообщение Message us for decryption ^_^.
Записка о выкупе образца Babuk
LockBit
Сборки LockBit, которые мы обнаружили в атаках Head Mare, идентичны образцам, сгенерированным общедоступным конструктором LockBit, который был слит в интернет в 2022 году. Злоумышленники распространяли LockBit под следующими именами:
- lb3.exe
- lock.exe
- OneDrive.exe
- lockbithard.exe
- lockbitlite.exe
- phdays.exe
- l.exe
- VLC.exe
Шифровальщик располагался по следующим путям:
- c:\Users\User\Desktop
- c:\ProgramData\
Две из упомянутых версий шифровальщика — lockbitlite.exe, а затем lockbithard.exe — злоумышленники использовали последовательно: сначала шифровали файлы при помощи LockbitLite, а затем то, что получилось на выходе, дополнительно шифровали вариантом LockbitHard.
Конфигурация этих вариантов незначительно различалась.
| LockbitLite | LockbitHard |
| «encrypt_filename»: false, | «encrypt_filename»: true, |
| «wipe_freespace»: false, | «wipe_freespace»: true, |
| «white_folders»: «$recycle.bin;config.msi;$windows.~bt;$windows.~ws;windows;boot», | «white_folders»: «», |
Примеры записок обоих образцов, которые генерируются при создании троянца в конфигураторе, представлены ниже.
Записка о выкупе образца LockBit
Записка о выкупе еще одного образца LockBit
Жертвы
По данным Kaspersky Threat Intelligence все связанные с Head Mare образцы детектировались только на территории России и Беларуси. На скриншоте ниже представлен анализ образца PhantomDL на Threat Intelligence Portal.
Информация об образце PhantomDL с TIP
Образцы, похожие на инструментарий Head Mare
Чтобы получить более полную картину, мы проанализировали образцы, которые видели в атаках Head Mare, с помощью технологии Similarity, которая позволяет находить схожие образцы вредоносного ПО. Хотя нельзя однозначно утверждать, что обнаруженные файлы также использовались Head Mare, их сходство может помочь в атрибуции кибератак и дальнейшем анализе активности группировки.
PhantomDL
| MD5 исходного образца | MD5 схожих образцов |
| 15333D5315202EA428DE43655B598EDA | A2BD0B9B64FBDB13537A4A4A1F3051C0 |
PhantomCore
| MD5 исходного образца | MD5 схожих образцов |
| 16F97EC7E116FE3272709927AB07844E | 855B1CBA23FB51DA5A8F34F11C149538 |
| 55239CC43BA49947BB1E1178FB0E9748 | 0E14852853F54023807C999B4FF55F64 99B0F80E9AE2F1FB15BFE5F068440AB8 |
LockBit
Заключение
Тактики, методы, процедуры и инструменты группы Head Mare во многом похожи на активность других групп, относящихся к кластерам, связанным с атаками на организации в России и Беларуси в рамках российско-украинского конфликта. При этом группа отличается от них использованием самописных вредоносных программ PhantomDL и PhantomCore, а также эксплойтов к сравнительно свежей уязвимости CVE-2023-38831 в рамках фишинговых кампаний для проникновения в инфраструктуру своих жертв. Это важный аспект, на который стоит обратить внимание российским и белорусским организациям: злоумышленники эволюционируют и совершенствуют свои TTP.
Индикаторы компрометации
Обратите внимание: сетевые адреса, приведенные в настоящем разделе, являются действительными на момент публикации, однако могут оказаться неактуальными в перспективе.
Хэши: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%BCFB96C50
664B68F2D9F553CC1ACFB370BCFA2CCF5DE78A11697365CF8646704646E89A38
311EDF744C2E90D7BFC550C893478F43D1D7977694D5DCECF219795F3EB99B86
4C218953296131D0A8E67D70AEEA8FA5AE04FD52F43F8F917145F2EE19F30271
2D3DB0FF10EDD28EE75B7CF39FCF42E9DD51A6867EB5962E8DC1A51D6A5BAC50
DC47D49D63737D12D92FBC74907CD3277739C6C4F00AAA7C7EB561E7342ED65E
EDA18761F3F6822C13CD7BEAE5AF2ED77A9B4F1DC7A71DF6AB715E7949B8C78B
Пути к файлам:
$appdata\Microsoft\Windows\srvhostt.exe
$appdata\Microsoft\Windows\srvhost.exe
C:\Windows\system32\SrvLog.exe
c:\Users\User\AppData\Local\microsoft\windows\srvhosts.exe
c:\windows\srvhost.exe
c:\ProgramData\OneDrive.exe
c:\ProgramData\update\XenAllPasswordPro.exe
c:\ProgramData\update\report.html
$user\desktop\rsockstun.exe
C:\ProgramData\resolver.exe
$user\desktop\lockbitlite.exe
$user\desktop\lb3.exe
C:\ProgramData\lock.exe
$user\desktop\x64\mimikatz.exe
c:\Users\User\Documents\srvhost.exe
c:\microsoft\windows\srchost.exe
IP-адреса:
188.127.237[.]46
45.87.246[.]169
45.87.245[.]30
185.80.91[.]107
188.127.227[.]201
5.252.176[.]47
45.11.27[.]232
URL-адреса:
188.127.237[.]46/winlog.exe
188.127.237[.]46/servicedll.exe
188.127.237[.]46/winlog.exe
194.87.210[.]134/gringo/splhost.exe
194.87.210[.]134/gringo/srvhost.exe
94.131.113[.]79/splhost.exe
94.131.113[.]79/resolver.exe
45.156.21[.]178/dlldriver.exe
5.252.176[.]77/ngrok.exe
5.252.176[.]77/sherlock.ps1
5.252.176[.]77/sysm.elf
5.252.176[.]77/servicedll.rar
5.252.176[.]77/reverse.exe
5.252.176[.]77/soft_knitting.exe
5.252.176[.]77/legislative_cousin.exe
5.252.176[.]77/2000×2000.php
*https://x.com/head_mare — аккаунт предположительно связан с хактивисткой группировкой. Используйте данный источник с осторожностью.
Авторы
Содержание
- Основные выводы
- Технические детали
- Исторический контекст
- Инструментарий Head Mare
- Первоначальный доступ
- Закрепление в системе
- Защита от обнаружения
- Управление и инфраструктура
- Получение доступа к закрытым сегментам сети (pivoting)
- Исследование сети
- Сбор учетных данных
- Конечная цель: шифрование файлов
- Жертвы
- Образцы, похожие на инструментарий Head Mare
- Заключение
- Индикаторы компрометации
От тех же авторов
В той же категории
Head Mare: приключения единорога в России и Беларуси