Группа IronHusky обновила MysterySnail для атак на организации в России и Монголии

Злоумышленники ежедневно создают новые вредоносные программы для кибератак. Каждый такой имплант разрабатывается по-своему, и имеет свою судьбу. Одни семейства остаются на слуху десятилетиями, тогда как сведения о других исчезают спустя несколько дней, месяцев или лет.

Именно такую ситуацию мы наблюдали с имплантом, который мы назвали MysterySnail RAT. Мы обнаружили его еще в 2021 году, исследуя уязвимость нулевого дня CVE-2021-40449. Тогда нам удалось связать этот бэкдор с китаеязычной APT-группой IronHusky, действующей как минимум с 2017 года. Мы опубликовали о нем статью, и после этого не было никаких публичных отчетов по теме — дальнейшая судьба импланта оставалась неизвестной.

Однако недавно нам удалось зафиксировать попытки развертывания новой версии MysterySnail в государственных учреждениях Монголии и России. Такой выбор целей нас не удивил. Еще в 2018 году мы писали, что связанная с троянцем группа IronHusky проявляет особый интерес к этим странам. Как выяснилось, имплант активно использовался в кибератаках все эти годы, просто публичные сообщения о нем отсутствовали.

Заражение через вредоносный скрипт MMC

Одно из последних зафиксированных нами заражений было вызвано вредоносным скриптом MMC, замаскированным под документ Национального земельного агентства Монголии (ALAMGAC):

Внешний вид файла вредоносного скрипта MMC в проводнике Windows (имеет значок документа Microsoft Word).

Проанализировав скрипт, мы установили, что он:

• загружает ZIP-архив со второй ступенью полезной нагрузки и файл-приманку в формате DOCX из общедоступного хранилища file[.]io;
• распаковывает архив и помещает легитимный файл DOCX в папку %AppData%\Cisco\Plugins\X86\bin\etc\Update;
• запускает файл CiscoCollabHost.exe, извлеченный из ZIP-архива;
• обеспечивает закрепление исполняемого файла CiscoCollabHost.exe в системе с помощью записи в раздел реестра Run;
• открывает на экране жертвы загруженный документ-приманку.

Промежуточный бэкдор

Мы изучили файл CiscoCollabHost.exe и выяснили, что это легитимный исполняемый файл. Однако в архиве, внедренном злоумышленниками, была обнаружена вредоносная библиотека CiscoSparkLauncher.dll, которая должна загружаться легитимным процессом с помощью техники DLL sideloading.

Мы обнаружили, что эта библиотека DLL представляет собой ранее неизвестный промежуточный бэкдор, обменивающийся данными с командным сервером с помощью легитимного проекта piping-server с открытым исходным кодом. Интересной особенностью работы этого бэкдора является то, что информация об используемых им функциях API Windows хранится не в самом вредоносном DLL-файле, а во внешнем файле с относительным путем log\MYFC.log. Этот файл зашифрован однобайтовым XOR и загружается во время выполнения. Скорее всего, злоумышленники добавили этот файл в бэкдор как меру защиты от анализа, поскольку без доступа к нему невозможно точно определить вызываемые API-функции. В результате процесс обратного инжиниринга бэкдора фактически превращается в гадание.

Взаимодействуя с легитимным сервером https://ppng.io, который используется в проекте piping-server, бэкдор может запрашивать команды у злоумышленников и отправлять им результаты их выполнения. Он поддерживает следующий набор основных вредоносных команд.

Как мы выяснили, с помощью команд этого бэкдора злоумышленники внедрили на компьютер жертвы следующие файлы:

• sophosfilesubmitter.exe — легитимный исполняемый файл;
• fltlib.dll — вредоносная библиотека, загружаемая методом DLL sideloading.

Наша телеметрия показала, что цифровой след этих файлов принадлежит вредоносному ПО MysterySnail RAT — импланту, о котором мы сообщали еще в 2021 году.

Новая версия MysterySnail RAT

В наблюдаемых случаях заражения MysterySnail RAT был настроен так, чтобы закрепляться в скомпрометированных машинах в виде службы. Его вредоносная DLL, развертываемая промежуточным бэкдором, загружала полезную нагрузку, зашифрованную с использованием алгоритмов RC4 и XOR, из файла с названием attach.dat. После расшифровки эта полезная нагрузка рефлективно загружалась при помощи метода DLL Hollowing с использованием кода, реализованного в библиотеке run_pe.

Как и версия MysterySnail RAT, о которой мы сообщали в 2021 году, последняя версия этого импланта использует для связи HTTP-серверы, развернутые злоумышленниками. Мы наблюдали коммуникации со следующими серверами:

• watch-smcsvc[.]com;
• leotolstoys[.]com;
• leotolstoys[.]com.

Проанализировав набор команд, реализованных в последней версии этого бэкдора, мы увидели сильное сходство с версией MysterySnail RAT от 2021 года. Новый имплант способен принимать около 40 команд, что позволяет ему:

• управлять файловой системой (чтение, запись и удаление файлов, а также перечисление дисков и каталогов);
• выполнять команды через оболочку cmd.exe;
• создавать и завершать процессы;
• управлять службами;
• подключаться к сетевым ресурсам.

В отличие от образцов MysterySnail RAT, которые мы описывали в статье 2021 года, в новых образцах эти команды реализованы иначе. Если в версии 2021 года команды выполнялись внутри одного вредоносного компонента, то в недавно обнаруженной версии импланта команды выполняются через пять дополнительных DLL-модулей, загружаемых во время выполнения. Ниже перечислены эти модули.

Переход к модульной архитектуре не является чем-то новым — мы уже видели развертывание модульных версий MysterySnail RAT в 2021 году. Эти версии включали те же модули, что и описанные выше, вплоть до ошибки в названии модуля ExplorerMoudleDll.dll. Тогда мы оперативно представили информацию об этих версиях подписчикам сервиса аналитических отчетов об APT-угрозах «Лаборатории Касперского».

MysteryMonoSnail — переработанная версия MysterySnail RAT

Примечательно, что вскоре после того как мы остановили описанную атаку MysterySnail RAT, злоумышленники продолжили свои атаки, развернув переработанную и более легкую версию этого вредоносного ПО. Мы назвали ее MysteryMonoSnail, так как она состоит всего из одного компонента. Мы также отметили, что она связывалась с теми же адресами командных серверов, что и полноценная версия MysterySnail RAT, но использовала другой протокол: WebSocket вместо HTTP.

Эта версия не обладает такими широкими возможностями, как описанная здесь полная версия MysterySnail RAT, и включает всего 13 основных команд для просмотра содержимого каталогов, записи данных в файлы, запуска процессов и командных оболочек.

Устаревшие семейства зловредов могут вернуться в любой момент

Четыре года — это довольно большой промежуток времени между публикациями о MysterySnail RAT. Примечательно, что за это время внутреннее устройство этого бэкдора практически не изменилось. Например, опечатка в файле ExplorerMoudleDll.dll, которую мы отмечали ранее, присутствовала в модульной версии MysterySnail RAT 2021 года. Кроме того, команды, реализованные в версии 2025 года этого RAT, выполняются аналогично импланту версии 2021 года. Именно поэтому при активном поиске угроз важно учитывать, что старые семейства вредоносных программ, о которых не сообщалось годами, в отсутствие широкой огласки могут продолжать свою деятельность. В связи с этим сигнатуры, предназначенные для обнаружения исторических семейств вредоносных программ, нельзя исключать из баз только потому, что они кажутся устаревшими.

Команда GReAT «Лаборатории Касперского» с 2008 года занимается обнаружением сложных угроз и предоставляет клиентам портала Kaspersky Threat Intelligence Portal наборы индикаторов компрометации как для старых, так и для новых вредоносных программ. Если вы хотите получить доступ к этим индикаторам и другой информации о прошлых и текущих угрозах, свяжитесь с нами по адресу intelreports@kaspersky.com.