С весны 2023 года мы в отделе исследования киберугроз активно наблюдаем за одной любопытной группировкой — PhaseShifters. Мы решили назвать ее так, потому что она меняет свои техники вслед за другим группировками, например UAC-0050 и TA558. А phase shift (в переводе с англ. — «сдвиг фазы»), как известно, — разность между начальными фазами двух величин, изменяющихся во времени периодически с одинаковой частотой.
В своих атаках PhaseShifters не отличаются оригинальностью: используют фишинг от имени официальных лиц с просьбой ознакомиться с документами и их подписать. А эти документы, в свою очередь, защищены паролем и (что предсказуемо) заражены.
В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer — часть этих инструментов мы заметили у UAC-0050. А использованные криптеры были те же, что и у группировок TA558 и Blind Eagle.
Подробнее о том, кто у кого списал, читайте под катом, а полный текст исследования можно найти в нашем блоге на сайте.
С чего все начиналось
В конце июня 2024 года мы обнаружили архив с названием Копия трудовой.docx.rar. Он распространялся в качестве вложения в письмах различным компаниям на территории России. Архив был защищен паролем, который, предположительно, можно было найти в теле письма.
Файл из архива (Копия трудовой.docx.exe
) выгружал в систему несколько файлов, один из которых был с провокационным названием putin_***.exe
, а также документ-приманку в виде фото паспорта гражданина Республики Беларусь.
Файл с провокационным названием запускал PowerShell-скрипты, которые получали картинки с загрузчиком ВПО и полезную нагрузку последней стадии из репозиториев Bitbucket.
По первой ссылке (bitbucket[.]org/hgdfhdfgd/test/downloads/new_image[.]jpg?14441723) можно было найти репозиторий с файлами и картинками со стеганографией.
На картинках была пустыня Атакама в Чили.
Второй Bitbucket-репозиторий (bitbucket[.]org/fasf24124/fdgfytrj/downloads) до сих пор функционирует и хранит 46 файлов с разными названиями, но с одинаковым содержанием.
Репозиторий создан 4 марта 2024 года пользователем с никнеймом siniy34240.
В цепочке атак использовался болгарский С2-сервер, который связан с другими подобными атаками и такими файлами, как:
ru***.exe
***pen**.exe
vvp_***.exe
Последняя полезная нагрузка в цепочке атаки — троян удаленного доступа DarkTrack RAT, который использовался группировкой в атаках 2023 и 2024 годов.
Помимо DarkTrack RAT, в репозиториях находились такие семейства ВПО, как AsyncRAT, RedLine, Remcos, njRAT, XWorm и другие. Такой набор троянов и стилеров использовался и другими группировками, а именно: TA558 и Blind Eagle.
Количество скачиваний у некоторых образцов ВПО превышает 46 000 раз. Такое массовое использование файлов указывает скорее на распространение вредоносов через специализированные сервисы, нежели на активность традиционных APT-группировок.
Один криптер на всех
При поиске схожих элементов в PowerShell-скриптах, а также в BAT- и VBS-файлах мы выделили несколько особенностей обфускации:
Использование обфускации с применением функций
SET
,GOTO
(BAT-файлы) иCall
(VBS-файлы).Переменная $codigo («код» с португальского или испанского языков) в PowerShell-скрипте, получаемом после деобфускации.
В последнем PowerShell-скрипте происходило скачивание полезной нагрузки в виде текстового файла, внутри которого находится закодированный в Base64 файл с ВПО.
Проанализировав эти особенности скриптов, мы увидели пересечение с атаками группировки TA558, про которую мы рассказывали в апреле. Кроме того, мы нашли сходство c деятельностью группировки Blind Eagle, описанной компанией eSentire. В отчете они рассказали про использование криптеров и обфускаторов, которые распространяются на теневых форумах в связке с загрузчиком Ande Loader. Его-то мы и встретили у PhaseShifters.
Понять, что PhaseShifters использовала тот же криптер, что и TA558, также помогли картинки с репозиториев создателей обфусткаторов — они были одинаковыми.
На этом сходства PhaseShifters с другими APT-группировками не заканчиваются :)
Не Bitbuket-ом единым: пересечения с UAC-0050
UAC-0050 — хакерская группировка, атакующая государственные организации на территории Украины с 2020–2021 годов, а также компании из Польши, Беларуси, Молдовы, стран Балтии и России.
Ранее мы сказали, что ход атак группировок PhaseShifters и UAC-0050 (отправка фишингового письма и заражение через документ-приманку или архив с паролем) был подозрительно похож.
Более того, в 2023 году UAC-0050 использовала Remote Utilities для атаки на польские и украинские организации, а в январе 2024 года группировка начала маскировать это приложение под легитимный CCleaner. В этой же атаке группировка тоже использовала Bitbucket, но уже для хранения архива.
Точно так же, как UAC-0050, PhaseShifters использовала ВПО, замаскированное под установщик утилиты CCleaner, в своих атаках на компании из Беларуси! Сам файл был SFX-архивом с обфусцированными AutoIt-скриптами.
Обе группировки использовали AutoIt-скрипты на протяжении примерно полугода, и обе одновременно прекратили их использовать. Интересная особенность этих скриптов заключалась в том, что только три группировки замечены за использованием AutoIt-загрузчика, а именно: PhaseShifters, UAC-0050 и пропалестинская группировка Handala.
Первые атаковали польские организации: PhaseShifters делала это в феврале 2024 года, а UAC-0050 атаковала Польшу в ноябре — декабре 2023 года. Основываясь на сходстве используемых техник фишинга, а также на абсолютно идентичной маскировке ВПО, мы сделали предположение о взаимосвязи этих двух группировок.
Еще больше подозрительно точных сходств
Рассмотрим граф взаимосвязей, который нам удалось создать на основе обнаруженных атак. На схеме белым цветом отображено использование группировкой UAC-0050 некоторых репозиториев из общего списка, желтым — аналогичные связи только со стороны группировки PhaseShifters. Зеленым цветом в представлении графа показан анализ цепочки атаки, а фиолетовым — дополнительная информация.
Как видно из графа, некоторые репозитории используются обеими группировками. И если взаимодействие с картинкой еще можно объяснить покупкой одного и того же криптера, о котором говорилось ранее, то использование одного и того же репозитория с полезной нагрузкой объяснить сложнее. Дело в том, что репозиторий с вредоносным ВПО указывается пользователем в обфускаторах как ссылка на полезную нагрузку. Получается, что обе группировки вручную указали эти ссылки.
А теперь рассмотрим другие атаки группировок PhaseShifters и UAC-0050, в которых также использовался один репозиторий: bitbucket[.]org/sdgw/sdge/downloads/ (более недействителен).
Со стороны группировки UAC-0050 такой репозиторий использовался в цепочке атаки с файлом Копія з позначкою банку.vbs, загружая в качестве полезной нагрузки файл bitbucket.org/sdgw/sdge/downloads/meduza[.]txt
, после декодирования Base64 становящийся стилером Meduza.
Группировка PhaseShifters использовала этот репозиторий в цепочке атаки с файлом Проект распоряжения правительства Курской области.pdf.zip
. Полезная нагрузка скачивалась по ссылке bitbucket[.]org/sdgw/sdge/downloads/mbFgnhd[.]txt
, что является DarkTrack RAT — характерным для них ВПО.
Таким образом, в одном репозитории находились и стилер Meduza, использование которого запрещено правилами теневого форума для атак на российские организации и российских пользователей в целом, и DarkTrack RAT, который был обнаружен в атаках на территории России. Позже, 15 октября 2024 года, вышла новость с упоминанием этих репозиториев. Странная получается ситуация.
Все точки над i
Мы убедились, что PhaseShifters копирует технику UAC-0050. Кроме того, мы уже в который раз наблюдаем, что это копирование начинается с небольшим промежутком в несколько недель.
Может, PhaseShifters — просто искусные подражатели, а может, PhaseShifters и UAC-0050 — это одна и та же группировка, атакующая как Россию, так и Украину. Мы склоняемся ко второму варианту, но не можем утверждать наверняка.
Сетевые индикаторы и матрица MITRE ATT&CK
Сетевые индикаторы
Индикатор |
Тип индикатора |
Назначение |
raw.githubusercontent.com/santomalo/audit/main/img_test.jpg?\d+ |
Общий. Картинка из репозитория используется в атаках нескольких группировок |
GitHub-репозиторий с картинкой, внутри которой — полезная нагрузка |
bitbucket.org/hgdfhdfgd/test/downloads/new_image.jpg?\d+ |
Общий. Картинка из репозитория используется в атаках нескольких группировок |
Bitbucket-репозиторий с картинкой, внутри которой — полезная нагрузка с Ande Loader |
bitbucket.org/shieldadas/gsdghjj/downloads/img_test.jpg?\d+ |
Общий. Картинка из репозитория используется в атаках нескольких группировок |
Bitbucket-репозиторий с картинкой, внутри которой — полезная нагрузка с Ande Loader |
bitbucket.org/rulmerurk/ertertqw/downloads/.*\.txt |
Индивидуальный индикатор для PhaseShifters |
Bitbucket-репозиторий с закодированной полезной нагрузкой |
bitbucket.org/fasf24124/fdgfytrj/downloads/.*\.txt |
Индивидуальный индикатор для PhaseShifters |
Bitbucket-репозиторий с закодированной полезной нагрузкой |
bitbucket.org/fwfsfw/fwf/downloads/.*\.txt |
Общий индикатор. Репозиторий используется несколькими группировками по всему миру |
Bitbucket-репозиторий с закодированной полезной нагрузкой |
bitbucket.org/sdgw/sdge/downloads/.*\.txt |
Общий индикатор. Репозиторий используется несколькими группировками по всему миру |
Bitbucket-репозиторий с закодированной полезной нагрузкой |
45.143.166.100 |
Индивидуальный. Используется только группировкой PhaseShifters |
DarkTrack C2 |
94.156.79.57 |
DarkTrack C2 |
Матрица MITRE ATT&CK
Reconnaissance | ||
T1135 |
Network Share Discovery |
Группа PhaseShifters сканировала сетевые папки, доступные через протокол SMB |
Resource Development | ||
T1588.001 |
Obtain Capabilities: Malware |
Группа PhaseShifters предположительно приобретала криптер или подписку на криптер |
T1608.001 |
Stage Capabilities: Upload Malware |
Группа PhaseShifters сама или с помощью третьих лиц загружала вредоносное ПО в Bitbucket-репозиторий |
Initial Access | ||
T1566.001 |
Phishing: Spearphishing Attachment |
Группа PhaseShifters посылала фишинговые письма в различные компании и прикрепляла запрошенные архивы с паролем, который находился в теле письма |
Execution | ||
T1059.001 |
Command and Scripting Interpreter: PowerShell |
Группа PhaseShifters запускала обфусцированные PowerShell-скрипты |
T1059.003 |
Command and Scripting Interpreter: Windows Command Shell |
Группа PhaseShifters запускала обфусцированные файлы с помощью |
T1059.005 |
Command and Scripting Interpreter: Visual Basic |
Группа PhaseShifters использовала обфусцированные VBS-скрипты |
Persistence | ||
T1547.001 |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Вредоносные файлы группировки PhaseShifters закреплялись в папке Startup |
Defense Evasion | ||
T1027 |
Obfuscated Files or Information |
Группировка PhaseShifters использовала Base64 для шифрования полезной нагрузки |
T1027.002 |
Obfuscated Files or Information: Software Packing |
Группировка PhaseShifters использовала UPX и Themida |
T1027.003 |
Obfuscated Files or Information: Steganography |
Группировка PhaseShifters использовала технику стеганографии в картинках, находящихся в Bitbucket-репозитории |
T1027.010 |
Obfuscated Files or Information: Command Obfuscation |
Криптер, который использовала группа PhaseShifters, обфусцировал PowerShell-код |
T1036 |
Masquerading |
Группировка PhaseShifters маскировала EXE-файлы, используя иконки легитимных программ и других расширений |
T1036.007 |
Masquerading: Double File Extension |
Группировка PhaseShifters маскировала EXE-, DOCX- или LNK-файлы, используя двойные расширения, например .docx.exe |
T1036.008 |
Masquerading: Masquerade File Type |
На Bitbucket, которые использовала PhaseShifters, вредоносные файлы хранились в закодированном виде с расширением .txt |
T1140 |
Deobfuscate/Decode Files or Information |
Вредоносное ПО группировки PhaseShifters декодировало полезную нагрузку, полученную в процессе заражения |
T1564.003 |
Hide Artifacts: Hidden Window |
В криптере, который использовала группировка PhaseShifters, использовался флаг -hidden для сокрытия выполнения PowerShell-скрипта |
Discovery | ||
T1057 |
Process Discovery |
Группировка PhaseShifters использовала PowerShell-команды для поиска и завершения определенных процессов |
T1012 |
Query Registry |
Группировка PhaseShifters собирала информацию о реестре |
Command And Control | ||
T1102 |
Web Service |
Группировка PhaseShifters использовала Bitbucket и GitHub для загрузки вредоносного ПО |
T1105 |
Ingress Tool Transfer |
Группировка PhaseShifters использовала Ande Loader для загрузки дополнительного вредоносного ПО |
T1571 |
Non-Standard Port |
Группировка PhaseShifters использовала в атаках нестандартные порты, например 1443 и 49162, для коммуникации через TCP-протокол |
T1132.001 |
Data Encoding: Standard Encoding |
Группировка PhaseShifters использовала стандартный протокол TLS 1.2, а также закодированные в Base64 строки для шифрования передаваемых данных |
Александр Бадаев
Специалист группы киберразведки Positive Technologies
Климентий Галкин
Специалист группы киберразведки Positive Technologies