Недавно мы запустили блог центра исследования киберугроз Solar 4RAYS, где делимся аналитикой об актуальных угрозах, результатами расследований инцидентов, полезными инструментами для реагирования на кибератаки и другими практическими материалами. Некоторые исследования из блога мы будем размещать также здесь, и вот одно из них.

В ходе расследования недавней атаки на одно из государственных учреждений мы обнаружили новые индикаторы, которые с высокой долей вероятности можно атрибутировать преступной группировке (Ex)Cobalt (также известной как Comet/Shadow/Twelve). Группировка ранее преследовала финансовую выгоду, но затем сменила вектор и стала заниматься атаками, свойственными кибершпионам. Мы выяснили, что с недавних пор злоумышленники стали использовать новую сетевую инфраструктуру и изменили технику развертывания главной вредоносной нагрузки.

Также нам удалось обнаружить несколько недавно зарегистрированных доменов, имеющих отдаленную связь с группировкой: они пока не использовались в атаках, но требуют пристального внимания, так как могут быть задействованы злоумышленниками в ближайшем будущем.

Первичный вектор заражения

В процессе исследования атаки на заказчика мы обнаружили фишинговые письма с прикрепленными архивами «Согласование сценария.rar», «Сценарий.rar». Внутри архивов находились LNK-файлы «Document_Microsoft_Word.lnk», в которых была применена любопытная техника. В overlay ярлыков содержится base64-кодированный bat-скрипт, который декодируется certutil и запускается.

В образце Document_Microsoft_Word.lnk (MD5: 375a82ae45a8041fc02a648f19154501) содержится следующая команда для запуска:

С ее помощью извлекается и запускается скрипт yoedfeyeoid.bat.

В образце Document_Microsoft_Word.lnk (MD5: 3de34143d90ad3d74ae2c82d91f5ca42) команда для запуска выглядит чуть иначе:

Но результат тот же – извлечение и запуск скрипта hutpjsav.bat, который является первой стадией атаки после заражения через LNK-файл.

Общая схема атаки выглядит одинаково во всех изученных нами случаях. Рассмотрим ее на примере архива «Сценарий.rar» (MD5: 1c2c01c22712e0ed3444b5aae5c5dfac), который жертва получила по электронной почте:

Далее мы подробнее изучим цепочку событий, произошедших после запуска LNK-файла.

I стадия. Bat-скрипт

Извлекаемый bat-скрипт содержит в себе base64-кодированные строки, из которых собираются скрипты VBS (Visual Basic Script) и PS (PowerShell), а также docx-приманка (%TEMP%\Document_Microsoft_Word.docx). Для их сборки используется текстовый файл, который загружается с предположительно взломанного веб-сайта (hxxps://aquatech72[.]ru). Файл задает правила конкатенации строк для корректного составления вышеупомянутых файлов, используемых для следующих стадий:

Команды для загрузки текстового файла, определяющего сборку скриптов

Base64-кодированные строки, имеющиеся в bat-скрипте, извлекаются с использованием утилиты certutil.exe.

Bat-скрипт также осуществляет закрепление извлеченных скриптов VBS и PS в ключе реестра по адресу HKLM|HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Наименование ключа – «XboxGamingOveray», его значение – «C:\WINDOWS\System32\wscript.exe C:\ProgramData\Packagr\XboxGamingOverlay.vbs C:\ProgramData\Packagr\».

Также в процессе исследования мы увидели другой ключ реестра – «Dathanges» – со значением «wscript.exe C:\ProgramData\Packagd\XboxGamingOverlay.vbs».

После успешной сборки следующих стадий осуществляется запуск VBS-скрипта, который, в свою очередь, запускает собранный PowerShell.

II стадия. VBS-скрипт

Вторая стадия представляет собой небольшой скрипт, единственное назначение которого – запуск ранее собранного PowerShell-скрипта следующей командой (после деобфускации):

III стадия. PowerShell-скрипт

Обфусцированные PowerShell-скрипты загружают в память вредоносный модуль CobInt и запускают его. Имеются две версии CobInt – x86 и x64, – они обе загружаются с одного и того же удаленного сервера: hxxps://netstaticpoints[.]com. На момент исследования нагрузка была недоступна, но, основываясь на характерном шелл-коде, который мы ранее уже исследовали и который в том случае предназначался для загрузчика CobInt, можно предположить, что и здесь основной нагрузкой с высокой долей вероятности был именно CobInt.

Атаки с использованием CobInt в индустрии атрибутируются группировке Cobalt, детальное описание самого вредоносного модуля было ранее опубликовано экспертами из ИБ-сообщества.

Анализ файлов LNK и поиск аналогичных образцов

Файлы ярлыков являются кладезем информации для исследователя, так как содержат множество полезных метаданных, таких как MAC-адрес девайса, на котором файл был создан. По итогам анализа двух файлов Document_Microsoft_Word.lnk, полученных в ходе нашего расследования, было установлено, что они созданы на одном и том же хосте в одно и то же время:

В результате поиска по открытым источникам мы обнаружили файл «Zapros_13-2-16442-upr_ot_25_08_2023.lnk» (MD5: 0da63b385b2b6650dd6acf3b511e5ac8) с таким же Machine ID (laptop-fj0h336p). Он ранее был замечен и упомянут коллегами из ИБ-отрасли в контексте описания активности (Ex)Cobalt. При этом схема извлечения полезной нагрузки и запуска CobInt в расследуемом нами инциденте была изменена наряду с сетевой инфраструктурой.

Аналогичным образом был обнаружен еще один файл «CamScanner_24.11.2023_10.32.lnk» (MD5: 939cc38ef64a3e5148d889fa4423d464) и содержащий его архив «DOC009_2.rar». Детальная информация по всем описываемым файлам может быть найдена в секции IoC.

Другие файлы, участвовавшие в атаке

В процессе атаки также использовались легитимные файлы dism.exe (MD5: 472646bd684bcaac510be7f65f9a08ab), которые предположительно были нужны для эксплуатации техники DLL Sideloading:

• C:\Intel\dism.exe

• C:\Intel\Log\dism.exe

• C:\hp\dism.exe

Также в атаке участвовали файлы, о которых нам известны только имена и SHA256 хеш-суммы, приведенные в разделе индикаторов. Примечательно, что имена файлов отсылают к продуктам Kaspersky и эта техника мимикрирования ранее уже была замечена за группировкой (Ex)Cobalt:

• C:\hp\bec.exe

• C:\hp\kas.exe

• C:\hp\kis.exe

• C:\hp\new.exe

• C:\hp\prt.exe

• C:\hp\prt2.exe

Среди этих файлов есть один, к которому мы получили доступ – C:\hp\kasi.exe. Он представляет собой модифицированную версию утилиты Chisel с открытым исходным кодом для создания TCP/UDP-туннелей через HTTP.

Модификации главным образом коснулись ее адаптации для использования в атаке:

• был оставлен только клиент, убрана серверная составляющая утилиты;

• для запуска оригинальной утилиты нужно указывать адрес С2-сервера в аргументах командной строки, злоумышленники встроили эти аргументы в саму утилиту;

• изменены имена функций, при этом строки не обфусцированы (C2 не зашифрован и хранится в открытом виде);

• убрана функция generatePidFile, чтобы не привлекать лишнее внимание созданием файла с PID процесса утилиты;

• убраны все строки с комментариями в коде.

  

В скомпрометированной системе также был обнаружен скрипт 1.bat, который использовался для загрузки PowerShell-скрипта 004.ps1 с удаленного сервера techcname[.]com.

При этом хеш-суммы загружаемого скрипта совпадают с хеш-суммами ранее проанализированного файла «\Packagd\XboxGamingOverlay.ps1». Мы полагаем, что это альтернативный вектор, который злоумышленники использовали для повторного заражения в ручном режиме.

Анализ сетевых индикаторов

Мы изучили серверы, используемые в исследованной атаке:

Оба домена зарегистрированы спустя неделю после выхода отчета о группировке, что могло сподвигнуть ее на перемещение своих ресурсов.

На момент исследования оба сервера еще были активны.

Примечательно, что домены были зарегистрированы с помощью регистратора Namecheap практически в одно и то же время с разницей в 4 секунды. Мы проанализировали другие домены, зарегистрированные в Namecheap примерно в то же время, и нашли несколько подозрительных:

На момент написания отчета найденные домены были припаркованы, но пока не введены в эксплуатацию. Их нельзя напрямую атрибутировать к (Ex)Cobalt, и вероятность их причастности именно к этой группировке мы оцениваем как низкую, тем не менее эти домены требуют мониторинга на предмет потенциальной вредоносной активности.

Заключение

Исследованный нами инцидент в очередной раз доказывает важность использования проактивных средств защиты, не привязанных к конкретным индикаторам, которые могут быть изменены злоумышленниками уже в следующей атаке. Группировка (Ex)Cobalt по-прежнему активна и имеет особый интерес к государственным учреждениям в России. И вряд ли такие атаки прекратятся в ближайшее время.

В отчете мы предоставили список дополнительных индикаторов, которые продолжим отслеживать на предмет появления потенциальной вредоносной активности.

Ознакомиться с другими исследованиями в блоге 4RAYS можно по ссылке.

IoC

Файловые индикаторы

Сетевые индикаторы

MITRE TTPs

Авторы: команда цифровой криминалистики и реагирования на инциденты (DFIR) центра исследования киберугроз Solar 4RAYS, ГК «Солар»