Описание вредоносного ПО

Майнер, кейлоггер и бэкдор атакуют организации

В апреле этого года ФБР опубликовало отчет об атаках, нацеленных на государственные и правоохранительные органы, а также некоммерческие организации. Злоумышленники загружают на устройства жертв скрипты, доставляющие сразу несколько вредоносных программ разных типов. В частности, атакующие пытаются использовать ресурсы компаний для майнинга, крадут данные с помощью кейлоггеров и получают доступ к системам через бэкдор.

По данным нашей телеметрии, различные скрипты, исполняемые файлы и ссылки на них, связанные с этой кампанией, мы обнаруживали с конца 2022 года. На момент написания статьи мы продолжали находить новые версии, поэтому угроза для B2B-сектора все еще является актуальной. Ресурсы и данные предприятий остаются под угрозой.

Исследуя индикаторы компрометации, указанные в апрельском отчете, мы обнаружили в нашей телеметрии за август этого года неопубликованные ранее вредоносные скрипты, которые пытаются манипулировать Защитником Windows (0BEFB96279DA248F6D49169E047EE7ABrunxm1.cmd и 769BC25454799805E83612F0F896E03Fstart.cmd). По косвенным признакам мы можем предполагать, что скрипты попадают в инфраструктуру компаний в основном в результате эксплуатации уязвимостей на серверах и рабочих станциях.

Сначала скрипт start.cmd пытается отключить защиту через реестр:

Отключение Защитника Windows в скрипте start.cmd

Если это удается, скрипт runxm1.cmd пытается занести несколько файлов в исключения. Эти файлы используются на разных этапах атаки, и подробнее мы расскажем о них ниже.

Добавление файлов в исключения Windows Defender

Также этот скрипт получает права администратора и переименовывает папки известных ему защитных решений, чтобы помешать их запуску на зараженном устройстве:

Переименование защитных решений

Затем оба скрипта обращаются к домену, на котором расположена некая платформа, показывающая курс криптовалют в реальном времени (в настоящее время домен недоступен):

С этого домена скрипты пытаются скачать различные исполняемые и конфигурационные файлы:

Загрузка файлов

Скрипт start.cmd впоследствии пытается запустить RtkAudio.exe, используя содержимое config.txt для конфигурации:

Запуск файла RtkAudio.exe с config.txt в качестве аргумента

Заглянув внутрь файла конфигурации, можно сразу понять, что он относится к майнеру. В данном случае злоумышленники хотят использовать зараженное устройство для генерации криптовалюты Monero (XMR):

Содержимое файла config.txt

Посмотрев на строки файла, которому передается конфигурация, мы убеждаемся, что это действительно майнер:

Посмотрим, фигурируют ли другие скачанные файлы в коде start.cmd. Мы видим, что путь до View.exe присваивается в качестве значения переменной PlayMusic:

Переменная PlayMusic

В дальнейшем, убедившись, что View.exe присутствует в системе и является исполняемым файлом, start.cmd обращается к этой переменной и скрытно запускает файл:

Запуск View.exe

Запустив View.exe вручную на виртуальной машине, мы увидели, что он сохраняет несколько файлов по пути C:\Users\Public. Среди них есть копии IntelSvc и RtkAudio, а также некоторые другие исполняемые файлы:

Файлы, сохраненные View.exe

Открыв в IDA один из них, а именно Systemfont.exe, мы убедились, что он отслеживает нажатия клавиатуры и имеет типичную структуру кейлоггера:

Код и структура файла Systemfont.exe

Запустив Systemfont.exe на виртуальной машине отдельно от остальных файлов, создадим новый текстовый документ и что-нибудь напишем:

В папке, где находится исполняемый файл, сразу появляется архив tempfont.rar:

Если открыть этот архив в HEX-редакторе, можно увидеть всю последовательность нажатых нами клавиш на клавиатуре и кнопок мыши:

Теперь рассмотрим более подробно IntelSvc.exe, который также запускается при помощи start.cmd. После старта он примерно раз в минуту делает запрос к C2 и перезаписывает файл log.json в ожидании команд. Такое поведение типично для бэкдора.

Активность IntelSvc.exe

В файле log.json содержатся аргументы для конфигурации дальнейшей работы бэкдора:

Содержимое файла log.json

Открыв IntelSvc.exe в IDA, мы можем увидеть команды, которые он способен выполнять:

Команды, которые может выполнять IntelSvc.exe

Также этот исполняемый файл создает папку для размещения файлов конфигурации и логов:

Среди файлов в этой папке интерес представляет web.ttf, который содержит IP-адрес C2-сервера:

Содержимое файла web.ttf

Статистика и цели

С мая 2023 года мы обнаружили более 10 000 атак на более 200 пользователей по всему миру. Атаки нацелены на B2B-сектор, среди потенциальных жертв присутствуют как крупные предприятия, так и SMB, работающие в различных сферах, в том числе государственные органы, сельскохозяйственные организации и компании, занимающиеся оптовой и розничной торговлей. Согласно собранной статистике, чаще всего описанные выше угрозы встречались в следующих странах:

  • Россия
  • Саудовская Аравия
  • Вьетнам
  • Бразилия
  • Румыния

При этом отдельные атаки наши решения обнаружили в США, Индии, Марокко и Греции.

Заключение

B2B-сектор по-прежнему привлекает злоумышленников, и при успешных атаках они пытаются использовать его ресурсы для обогащения всеми возможными способами. Даже если заражение майнерами кажется вам незначительной проблемой, стоит иметь в виду, что если атакующие смогли загрузить в инфраструктуру компании майнер, они смогут загрузить и более опасное ПО. Кампания, описанная в этой статье, яркая тому иллюстрация: помимо программы для генерации криптовалюты атакующие загружают на устройства жертв кейлоггер, способный красть пароли и любую другую информацию, вводимую с клавиатуры, а также бэкдор. Чтобы защититься от подобных угроз, компаниям необходимо постоянно улучшать и обновлять свои системы безопасности, ведь атакующие регулярно дорабатывают и совершенствуют свои инструменты, системы и навыки в попытках пробить защиту предприятия.

Индикаторы компрометации

MD5
0BEFB96279DA248F6D49169E047EE7AB
769BC25454799805E83612F0F896E03F
B747AEDF0F3E4457C6D02BC5AF7C0980
0A50081A6CD37AEA0945C91DE91C5D97
1DA8E7C92C86FC8DBAB5287BDCA91CA1
3C47D45F09948B8E6FDB5F96523BC60B
5D3E2B2EE668B2BC071B8D4027C6B8F1
227FA5D690A943114FF3CCFE7977192A
A531FE822618B6A917D50BEE001C95A1
DDAB66730A84583B98D3415F9181D092
830debd1f6d39c726c2d3208e3314f44
3b2a270b90b3e24a25cc991df40da3ca
DDD12566B99343B96609AFA2524ECEC3
a6d4706baeb9ab97490d745f7a2bb11e
A7CDE18F991E97037A7899B7669E2548
AC27DE51896A5BA2FD0DDA9B7955A201
2ac1d8e16e47e97db3c60d728270ad5a
5919e4e3e06b617d967dc6e8fecb701b
8dcd1e4e37838b49214f10c50ef5a5f0
51ad216fcb4afe42b9ef01ab472a2914
df6f39d30dc5e9f4155514cdefb54620
b2e250b9e3b9d5e6b2080cb782f9698e
af9327d353b97fd50a777145bc0e8e1e
22f9682e543b94532d46541c63512f2d
1225f4f50154dd49d4853e4efc3ddf77
7d0f67343f128d29a50ccd3639b72884
752940da17469330c38ab98d04f3d6b8
11ca68ea3500cb03db1f4008d18cb6b2
b558fa064d0d3f94f5e4c975375cbad1
4cdbcfa0d6fd2e7de6ec0030cfb2322d
7e09279dcd3655ab1b2e2684746e4bc2
a38dece5bcb9f6d1c027d86e0318a60e
474f517eb23bdfa4c320c091c3eb2dba
f0881b3c3d1535685d6190df4083f515
61d5944634d735c3e6efc3b1349de740
99634dcaca690066187e30c36182bf19

Майнер, кейлоггер и бэкдор атакуют организации

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике