Специалисты управления киберразведки BI.ZONE зафиксировали новую кампанию группировки Red Wolf, которая специализируется на промышленном шпионаже. Атакующие продолжают использовать фишинговые электронные письма для получения доступа к интересующим их организациям. При этом для доставки ВПО на скомпрометированную систему используются IMG-файлы, которые, в свою очередь, содержат LNK-файлы. Открытие жертвой такого файла приводит к запуску обфусцированного DLL-файла, цели которого — загрузка на устройство жертвы и запуск RedCurl.FSABIN. Таким образом атакующие получают возможность выполнять команды в скомпрометированной системе, а также загружать дополнительные инструменты для решения задач постэксплуатации.

Ключевые выводы:

  • Red Wolf продолжает использовать традиционные методы доставки ВПО, в частности электронные фишинговые письма, содержащие ссылки на загрузку вредоносных файлов.

  • В контексте обнаруженной кампании атакующие использовали IMG-файлы с вредоносными ярлыками, открытие которых жертвой приводило к загрузке и запуску RedCurl.FSABIN.

  • Арсенал группировки состоит из фреймворка собственной разработки, а также ряда общедоступных инструментов, который, например, включает LaZagne и AD Explorer. Кроме того, для решения задач постэксплуатации группировка активно использует интерпретатор PowerShell.

  • Группировка фокусируется на корпоративном шпионаже и предпочитает медленное продвижение по скомпрометированной инфраструктуре, оставаясь незамеченной до 6 месяцев.

Описание кампании

Специалисты управления киберразведки BI.ZONE обнаружили новую кампанию группировки Red Wolf (RedCurl), которая активна как минимум с июня 2018 года на территории России, Германии, Украины, Канады, Норвегии и Великобритании.

Обнаруженный файл (рис. 1) представляет собой образ оптического диска, после открытия которого происходит его монтирование в скомпрометированную систему.

Рис. 1. Видимое содержимое образа диска
Рис. 1. Видимое содержимое образа диска

Образ диска содержит LNK-файл, а также скрытую папку #TEMP (рис. 2). Эта папка содержит несколько DLL-файлов, при этом вредоносный контент содержится только в одном из них.

Рис. 2. Содержимое папки #TEMP
Рис. 2. Содержимое папки #TEMP

После запуска LNK-файла осуществляется запуск rundll32 со следующими параметрами:

rundll32.exe #temp\mKdPDaed.dll,ozCutPromo

DLL-файл открывает веб-страницу (рис. 3). 

Рис. 3. Веб-страница, которую открывает DLL-файл
Рис. 3. Веб-страница, которую открывает DLL-файл

После этого с https://app-ins-001.amscloudhost[.]com:443/dn01 осуществляется загрузка RedCurl.FSABIN, который сохраняется в папку C:\Users[user]\AppData\Local\VirtualStoreс именем chrminst_[имя компьютера в base64].exe. Строки в файле зашифрованы с использованием AES-128 CBC, при этом первая часть пароля для получения ключа содержится непосредственно в самом образце, а вторая передается в качестве параметра командной строки, например:

C:\Users\[redacted]\AppData\Local\VirtualStore\chrminst_[redacted].exe DOFBBdXC5DmPC

Закрепление в системе указанного файла осуществляется через создание задачи в планировщике заданий Windows с именем ChromeDefaultBrowser_Agent_[имя компьютера в base64]

Бэкдор использует Windows API для сбора информации о количестве процессоров, памяти и объеме жесткого диска, а также количестве времени, прошедшего с момента загрузки ОС, перед запуском образца ВПО. Такая проверка предназначена для идентификации виртуальной среды, а также обхода соответствующих средств защиты и анализа. После этого бэкдор отправляет на командный сервер информацию о скомпрометированной системе, а именно имя пользователя, имя компьютера, имя домена, список файлов и папок в Program Files, Desktop и AppData\Local, уникальный идентификатор, а затем осуществляет загрузку DLL и выполнение ее экспортируемой функции (в данном случае yDNvu).

Выводы

Несмотря на использование распространенных техник, Red Wolf все еще удается эффективно противодействовать традиционным средствам защиты, сводя возможность обнаружения к минимуму. Это позволяет группировке оставаться незамеченной в скомпрометированной инфраструктуре продолжительное время, эффективно достигая поставленных целей.

Как обнаружить следы Red Wolf:

  1. Осуществляйте мониторинг создания и монтирования файлов образов дисков небольшого размера.

  2. Обращайте внимание на запуск DLL-файлов средствами rundll32 из папки #TEMP.

  3. Отслеживайте запуск подозрительных файлов из папки C:\Users\[user]\AppData\Local через планировщик заданий Windows.

  4. Ищите следы сетевых коммуникаций с поддоменами *.amscloudhost[.]com.

  5. Приоритизируйте обнаружение тактик, техник и процедур, характерных для группировки Red Wolf.

MITRE ATT&CK

Тактика

Техника

Процедура

Initial Access

Phishing: Spearphishing Link

Red Wolf использует фишинговые ссылки в электронных письмах, чтобы доставлять ВПО

Execution

User Execution: Malicious File

Жертве необходимо открыть вредоносный LNK-файл, чтобы запустить процесс компрометации

Native API

Red Wolf использует Windows API для сбора информации о скомпрометированной системе

Defense Evasion

Hide Artifacts: Hidden Files and Directories

Red Wolf размещает вредоносный файл в скрытой папке #TEMP

System Binary Proxy Execution: Rundll32

Red Wolf использует rundll32 для запуска вредоносной DLL

Obfuscated Files or Information

Red Wolf использует AES-128 CBC для шифрования строк

Virtualization/Sandbox Evasion: System Checks

Red Wolf осуществляет проверки скомпрометированной системы с целью идентификации виртуальной среды

Virtualization/Sandbox Evasion: Time Based Evasion

Red Wolf собирает информацию о количестве времени, прошедшего с момента загрузки ОС, перед запуском образца ВПО

Persistence

Scheduled Task/Job: Scheduled Task

Red Wolf создает задание в планировщике для закрепления в скомпрометированной системе

Discovery

System Information Discovery

Red Wolf собирает информацию о скомпрометированной системе, в том числе об имени пользователя, компьютере и домене

File and Directory Discovery

Red Wolf собирает информацию о файлах и папках в Program Files, Desktop и AppData\Local

Command and Control

Application Layer Protocol: Web Protocols

Red Wolf использует HTTP и HTTPS для коммуникации с командными серверами

Индикаторы компрометации

  • e7b881cd106aefa6100d0e5f361e46e557e8f2372bd36cefe863607d19471a04;

  • 3bd054a5095806cd7e8392b749efa283735616ae8a0e707cdcc25654059bfe6b;

  • 4188c953d784049dbd5be209e655d6d73f37435d9def71fd1edb4ed74a2f9e17;

  • app-ins-001.amscloudhost[.]com;

  • m-dn-001.amscloudhost[.]com;

  • m-dn-002.amscloudhost[.]com.

Детальная информация о группировке, ее тактиках, техниках и процедурах, а также дополнительные индикаторы компрометации доступны клиентам BI.ZONE ThreatVision.

Комментарии (1)


  1. msuhanov
    28.06.2023 10:11
    +1

    После этого с https://app-ins-001.amscloudhost[.]com:443/dn01 осуществляется загрузка RedCurl.FSABIN, который сохраняется в папку C:\Users[user]\AppData\Local\VirtualStore</code>с именем [...]

    Отслеживайте запуск подозрительных файлов из папки C:\Users[user]\AppData\Local через планировщик заданий Windows.

    Довольно странный выбор пути. Вот прямо так — с "</code>" в имени директории? И не "\Users\[user]\" даже?