PhantomDL и DarkWatchman RAT атакуют российские организации

В начале июля системы мониторинга угроз «Лаборатории Касперского» зарегистрировали две волны целевых почтовых рассылок с вредоносными архивами внутри. Получателями были сотрудники российских организаций, в основном производственной, государственной, финансовой и энергетической отраслей. Первая волна прошла пятого июля и затронула около 400 пользователей, вторая, более массовая, была замечена десятого июля — получателями стали свыше 550 пользователей. Цифры основаны на данных Kaspersky Security Network — системы сбора телеметрии, содержащей анонимизированную информацию, добровольно предоставленную нашими пользователями.

Некоторые письма представляли собой ответ на настоящую переписку с контрагентами целевых организаций, что может говорить о том, что злоумышленники использовали взломанные почтовые ящики этих контрагентов или ранее украденную переписку. Письма, продолжающие старую переписку, вызывают больше доверия у потенциальных жертв.

Примеры вредоносных писем

Злоумышленники постоянно меняли предлог, под которым просили скачать и открыть вредоносный архив, создавали уникальные и убедительные тексты писем, чтобы не вызвать сомнения у потенциальных получателей зловреда.

В качестве полезной нагрузки атакующие распространяли RAR-архив, который мог находиться во вложении или скачиваться по ссылке на Google Диск в теле письма. В подавляющем большинстве случаев архив был защищен паролем, который также был указан в письме. Названия могли быть разные, в зависимости от темы переписки: «Расчетная_ведомость_ТН76_309_от_05_07_2024», «Возврат средств реквизиты», «Счет-Фактура», «Договор_кх02_523». Внутри архива находился документ-приманка, а также одноименная папка, содержащая исполняемый файл, обычно с двойным расширением (например, «Счет-Фактура.pdf .exe»). Такая структура архива может использоваться для попыток эксплуатации уязвимости CVE-2023-38831, получившей широкое распространение среди злоумышленников.

Пример содержимого вредоносного архива

Бэкдор PhantomDL

В случае успешной атаки на устройство жертвы устанавливалось специфичное вредоносное ПО, которое мы классифицируем как Backdoor.Win64.PhantomDL. Оно написано на языке Go, сильно обфусцировано и отличается использованием нестандартной версии упаковщика UPX. PhantomDL впервые появился в марте 2024 года, а предшествовал ему инструмент PhantomRAT, написанный на .NET. По сути это то же ПО, только на другом языке программирования. Так же как и его предшественник, PhantomDL применяется в основном для установки и запуска различных утилит категории HackTool и ПО для удаленного администрирования. В частности, мы заметили в подобных атаках установку утилит rsockstun и ngrok для туннелирования трафика, sshpass для доступа к компьютеру по SSH и других. Кроме того, бэкдор используется для загрузки различных файлов с компьютера жертвы на сервер злоумышленников — как правило, это результаты и логи выполнения различных утилит, но также возможна и загрузка любых других конфиденциальных документов.

Бэкдор может выполнять следующие команды:

• exit — прекратить выполнение;
• None — ожидать следующей команды;
• shell — открыть командную оболочку и выполнить указанную команду;
• download — отправить указанный файл с компьютера на сервер;
• upload — скачать и запустить указанный файл.

Команды бэкдора PhantomDL

Как можно видеть на скриншоте выше, чтобы затруднить обнаружение автоматическими средствами, команды в коде бэкдора написаны задом наперед, а shell также разбита на две строки.

Коммуникация с C2

В отличие от предыдущих версий, использовавших протокол HTTP, коммуникация с С2 в текущей версии бэкдора осуществляется по протоколу RSocket.

Коммуникация PhantomDL с C2

Интересно, что в качестве C2 используются домены, мимикрирующие под Wildberries и Яндекс Диск: api.wilbderreis[.]ru, api.yandex-disk[.]info. Возможно, таким образом злоумышленники пытаются оставаться незамеченными в зараженной системе. Помимо этого, они использовали взломанный домен крупного российского промышленного предприятия для хостинга модулей бэкдора (после нашего обращения вредоносное ПО с этого домена оперативно удалили).

Пример домена, который PhantomDL использует в качестве C2

Атрибуция атак PhantomDL

На основании применявшегося вредоносного ПО, индикаторов компрометации, а также тактик, техник и процедур злоумышленников можно предположить, что за атаками PhantomDL стоит хакерская группировка, известная как Head Mare.

Рассылка DarkWatchman RAT

Стоит отметить, что аналогичные по оформлению, целям, названиям и формату вложений рассылки мы наблюдали и ранее, однако в них распространялось другое вредоносное ПО. В частности, с конца апреля по начало июня рассылались письма с похожим на июльские кампании содержанием: во вложении якобы находились документы, защищенные паролем по требованию министерства, а сам пароль был указан в тексте письма. Вложения назывались в соответствии с темой письма, например «Заявка на рассчет Май 2024.pdf.rar» или «Документ из налоговой(запрос).rar».

В этих письмах распространялись экземпляры вредоносного ПО DarkWatchman RAT, которое предоставляет злоумышленникам удаленный доступ к зараженной системе.

Примеры вредоносных писем в кампании DarkWatchman RAT

Рассмотрим эту кампанию подробнее на примере второго письма. В нем говорится, что во вложении находятся документы из налоговой, которые якобы нужно переслать бухгалтеру. К письму прилагается архив с именем «Документ из налоговой(запрос).rar», внутри которого находится файл «Документ из налоговой(запрос).exe». Этот документ, в свою очередь, является самораспаковывающимся архивом RarSFX.

Содержимое архива RarSFX

Как только пользователь открывает файл, автоматически выполняется скрипт, который запускает PowerShell, добавляет системный диск в исключения Защитника Windows, чтобы он не сканировал этот диск на наличие угроз, и выполняет JScript (7020189421) через службу WScript. Этот скрипт и является основной полезной нагрузкой DarkWatchman RAT.

Выполнение вредоносного скрипта DarkWatchman RAT

При этом пользователю отображается окно с ошибкой.

Запускаемый вредоносный скрипт умеет выполнять команды, полученные с удаленного сервера, с помощью интерпретаторов WSH-, PowerShell- и BAT-скриптов, скачивать и исполнять вредоносные файлы и библиотеки и выгружать пользовательские файлы на сервер. Также в скрипте реализованы функции кейлоггера, самоудаления и периодической очистки кэша браузеров Chrome, Firefox и Yandex Browser. В случае запуска с правами администратора вредоносный скрипт также может удалить теневые точки восстановления Windows.

Команды, которые поддерживает DarkWatchman RAT

В качестве C2 используются жестко закодированные домены и домены, сгенерированные автоматически при помощи DGA (Domain Generation Algorithm). Алгоритм генерирует строки на основе текущей даты, соли и итератора. Затем для этих строк вычисляется CRC32. Полученные значения используются для создания доменных имен с зонами .space, .shop или .fun. Например, fbobf2b1[.]shop, 73c9efbb[.]space, 3365815f[.]fun.

Индикаторы компрометации

PhantomDL:
8C9617DDC6D371264A7026777E3CDCC9
29b0bf2173c4ddcd7694f5b0745f2b00
b179a0bca2103fe51d8351fe3f7bab45
55239cc43ba49947bb1e1178fb0e9748
0e14852853f54023807c999b4ff55f64
99B0F80E9AE2F1FB15BFE5F068440AB8
F09711BB182E41EC6013935D068998C9
F4C7B1C34010378A873D2E9EF5F4CD8F

PhantomDL C2:
94.131.113[.]79
94.131.113[.]80
45.156.21[.]178
api.wilbderreis[.]ru
api.yandex-disk[.]info
dev.sauselid[.]ru

Хостинг файлов PhantomDL:
185.80.91[.]107

DarkWatchman RAT:
85c8c66c34bb60e09e68f882831b1751
1143b8c37a580cbf3566085f411dcf5d
9c80573b205ff9080448eac5a6e41221