Инциденты

Троянец Dimnie устанавливает шифровальщик Purga

Несколько дней назад мы обнаружили вредоносную кампанию по распространению известного шифровальщика Purga. В данном случае использовалась версия зловреда, которая добавляет к зашифрованным файлам расширение .bomber, а целями атаки были организации и частные лица в России.

Проанализировав всю цепочку заражения, мы выяснили, что к установке шифровальщика Purga имеет отношение другой хорошо известный троянец — Dimnie. Распространялся троянец посредством спама; письма содержали вредоносное вложение или ссылку на вредоносный файл. И в том, и в другом случае зловред был замаскирован под офисный документ: договор, платежное поручение, инструкция и т.д.

Кроме того, в рамках этой вредоносной кампании мы наблюдали установку других вредоносных компонентов:

  • Троянец TeamBot / RTM
  • Банковский троянец Buhtrap

Dimnie

Зловред известен с 2014 года, он был замечен в ряде атак как на обычных пользователей, так и на юридических лиц, в первую очередь на финансовые организации. Dimnie способен загружать дополнительные модули для:

  • кражи учетных данных ОС и онлайн-ресурсов;
  • поиска и отправки на удаленный сервер пользовательских файлов;
  • поиска и передачи на удаленный сервер информации о запущенных приложениях;
  • перехвата нажимаемых клавиш и содержимого буфера обмена;
  • получения снимков экрана.

Для коммуникации с управляющим сервером Dimnie использует протокол HTTP. А для того, чтобы избежать обнаружения, троянец использует ряд маскировок. Так, например, после успешного резолва доменного имени C&C-сервера троянец подключается к полученному IP-адресу, однако в качестве полей заголовка HTTP запросов указываются адреса популярного поискового сервиса.

Маскировка HTTP запросов троянца Dimnie

Общение с C&C, отправка и получение данных, команды и дополнительные модули зашифрованы с помощью алгоритма шифрования AES. Для их маскировки в начале зашифрованных данных прикрепляется стандартный заголовок файла формата JPEG.

Маскировка загружаемых модулей под картинку

TeamBot / RTM

Загружаемый Dimnie файл троянца TeamBot представляет собой самораспаковывающийся RAR-архив. Из него в директорию %TEMP%\UeIqC\ извлекаются легальные компоненты ПО для удалённого доступа TeamViewer, вредоносная библиотека TV.dll и конфигурационный файл config.bin.

После распаковки архива происходит автоматический запуск TeamViewer.exe, в ходе которого вредоносная библиотека TV.dll методом DLL hijacking получает управление. Далее она расшифровывает конфигурационный файл config.bin и извлекает из него адрес C&C-сервера и параметр «comment», использующийся злоумышленниками, видимо, как идентификатор кампании.

Конфигурационные данные из рассматриваемого сэмпла TeamBot

Псевдокод процедуры, извлекающей параметры из конфигурационного файла

Далее троянец выполняет перехват нескольких системных вызовов с целью скрыть от жертвы наличие запущенного приложения TeamViewer.

Фрагмент псевдокода процедуры, устанавливающей перехваты

После этого TeamBot собирает информацию о системе и отправляет её на C&C-сервер. Среди отправляемой информации есть следующие параметры:

  • os — версия операционной системы
  • pcuser — имя пользователя
  • cpu — модель процессора
  • ram — объём оперативной памяти
  • av — установленный антивирусный продукт
  • admin — имеет ли учётная запись пользователя административные привилегии
  • comment — строка «hTV_bot_[v1.2a]»

HTTP-запрос TeamBot с информацией о заражённой системе

В результате заражения TeamBot скомпрометированная система оказывается открытой для удалённого доступа злоумышленников, которые могут подключиться и выполнять на ней любые действия, в том числе загружать и запускать произвольные файлы.

Purga

Шифровальщики семейства Trojan-Ransom.Win32.Purga (оно же Globe, Amnesia и Scarab) известны примерно с середины 2016 года. Последние модификации, включая и данную, используют следующую криптографическую схему:

  1. При запуске генерируется пара сессионных ключей RSA, приватный сессионный ключ шифруется содержащимся в теле зловреда публичным ключом RSA злоумышленников. Данная информация будет затем записана в файл с требованиями злоумышленников.
  2. Пример файла, содержащего требования злоумышленников

  3. Файлы шифруются по алгоритму AES-256-CBC, ключ и вектор для каждого файла генерируются непосредственно перед шифрованием.
  4. Ключ и вектор AES зашифровываются сессионным публичным ключом RSA и записываются в конец зашифрованного файла.

В зависимости от указанной конфигурации, троянцы семейства Purga также могут шифровать имена файлов. Исследуемый образец шифрует имя файла алгоритмом RC4, используя в качестве ключа строку, содержащую зашифрованные ключ и вектор AES. Полученный буфер будет закодирован алгоритмом Base64 с нестандартным алфавитом.

Пример директории после работы шифровальщика

Защитные решения «Лаборатории Касперского» детектируют рассмотренные угрозы со следущими вердиктами:

  • PDM:Trojan.Win32.Generic
  • Trojan.Win32.Dimnie
  • Backdoor.Win32.TeamBot
  • Trojan-Ransom.Win32.Purga

Для проактивного обнаружения описанных угроз использовались:

IoCs
CC74E57FA7575573E12255A4EF6D77E3
FB7CED608F0A962C59DC04D817530C4B
FACD04FC6428C73BD75771B7D3376A83
799AB035023B655506C0D565996579B5

Dimnie MD5
8cf5f8a6f0f616337a6decae8bd14956
fb7ced608f0a962c59dc04d817530c4b
0713c5f42820c65442aad0707830f802
90c15f6da1b0de3ec273f410b7875394
3a4ccf6c97bc3dc109e715f0b3fe48a6
57ee4f77c5d58591b70400c4b4860399
dd7970c50f3e2f789bb18e4290dfa27b

Dimnie C&C
webwerkt.trade
taxhelpline.date
incapsula.site
185.99.133.134
cryptobase.bit
analyticslab.science —
ketpatontjohnbet.xyz —
clicksmarket.trade —
tedhemtefortti.xyz
torsdinthertpegot.xyz
vebabdingparab.online
sonygame.bit
wasswiteneventwo.xyz
fortoftletningtoft.online
wittitreskerol.xyz
103.208.86.157
103.208.86.3
stackshare.loan
forusebutuldno.online
techweeds.club
hedahinneaning.online
himaughsofres.online
gosmos.bit
gouldsittorswit.online
geekflare.win
213.252.244.133

Троянец Dimnie устанавливает шифровальщик Purga

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике