С весны 2023 года мы в отделе исследования киберугроз активно наблюдаем за одной любопытной группировкой — PhaseShifters. Мы решили назвать ее так, потому что она меняет свои техники вслед за другим группировками, например UAC-0050 и TA558. А phase shift (в переводе с англ. — «сдвиг фазы»), как известно, — разность между начальными фазами двух величин, изменяющихся во времени периодически с одинаковой частотой.

В своих атаках PhaseShifters не отличаются оригинальностью: используют фишинг от имени официальных лиц с просьбой ознакомиться с документами и их подписать. А эти документы, в свою очередь, защищены паролем и (что предсказуемо) заражены.

В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer — часть этих инструментов мы заметили у UAC-0050. А использованные криптеры были те же, что и у группировок TA558 и Blind Eagle.

Подробнее о том, кто у кого списал, читайте под катом, а полный текст исследования можно найти в нашем блоге на сайте

С чего все начиналось

В конце июня 2024 года мы обнаружили архив с названием Копия трудовой.docx.rar. Он распространялся в качестве вложения в письмах различным компаниям на территории России. Архив был защищен паролем, который, предположительно, можно было найти в теле письма. 

Файл из архива (Копия трудовой.docx.exe) выгружал в систему несколько файлов, один из которых был с провокационным названием putin_***.exe, а также документ-приманку в виде фото паспорта гражданина Республики Беларусь.

Документ-приманка с паспортом
Документ-приманка с паспортом

Файл с провокационным названием запускал PowerShell-скрипты, которые получали картинки с загрузчиком ВПО и полезную нагрузку последней стадии из репозиториев Bitbucket.

По первой ссылке (bitbucket[.]org/hgdfhdfgd/test/downloads/new_image[.]jpg?14441723) можно было найти репозиторий с файлами и картинками со стеганографией.

На картинках была пустыня Атакама в Чили.

Изображение с пустыней, скрывающее вредоносный скрипт
Изображение с пустыней, скрывающее вредоносный скрипт

Второй Bitbucket-репозиторий (bitbucket[.]org/fasf24124/fdgfytrj/downloads) до сих пор функционирует и хранит 46 файлов с разными названиями, но с одинаковым содержанием.

Репозиторий создан 4 марта 2024 года пользователем с никнеймом siniy34240. 

В цепочке атак использовался болгарский С2-сервер, который связан с другими подобными атаками и такими файлами, как:

  • ru***.exe

  • ***pen**.exe

  • vvp_***.exe

Последняя полезная нагрузка в цепочке атаки — троян удаленного доступа DarkTrack RAT, который использовался группировкой в атаках 2023 и 2024 годов. 

Помимо DarkTrack RAT, в репозиториях находились такие семейства ВПО, как AsyncRAT, RedLine, Remcos, njRAT, XWorm и другие. Такой набор троянов и стилеров использовался и другими группировками, а именно: TA558 и Blind Eagle. 

Количество скачиваний у некоторых образцов ВПО превышает 46 000 раз. Такое массовое использование файлов указывает скорее на распространение вредоносов через специализированные сервисы, нежели на активность традиционных APT-группировок.

Один криптер на всех

При поиске схожих элементов в PowerShell-скриптах, а также в BAT- и VBS-файлах мы выделили несколько особенностей обфускации:

  • Использование обфускации с применением функций SET, GOTO (BAT-файлы) и Call (VBS-файлы).

  • Переменная $codigo («код» с португальского или испанского языков) в PowerShell-скрипте, получаемом после деобфускации.

  • В последнем PowerShell-скрипте происходило скачивание полезной нагрузки в виде текстового файла, внутри которого находится закодированный в Base64 файл с ВПО. 

Проанализировав эти особенности скриптов, мы увидели пересечение с атаками группировки TA558, про которую мы рассказывали в апреле. Кроме того,  мы нашли сходство c деятельностью группировки Blind Eagle, описанной компанией eSentire. В отчете они рассказали про использование криптеров и обфускаторов, которые распространяются на теневых форумах в связке с загрузчиком Ande Loader. Его-то мы и встретили у PhaseShifters.

Понять, что PhaseShifters использовала тот же криптер, что и TA558, также помогли картинки с репозиториев создателей обфусткаторов — они были одинаковыми.

Самая первая картинка (июль 2023 года) с тестовой полезной нагрузкой внутри
Самая первая картинка (июль 2023 года) с тестовой полезной нагрузкой внутри
Картинка из репозитория (август 2024 года), полезная нагрузка внутри — dnlib
Картинка из репозитория (август 2024 года), полезная нагрузка внутри — dnlib

На этом сходства PhaseShifters с другими APT-группировками не заканчиваются :)

Не Bitbuket-ом единым: пересечения с UAC-0050

UAC-0050 — хакерская группировка, атакующая государственные организации на территории Украины с 2020–2021 годов, а также компании из Польши, Беларуси, Молдовы, стран Балтии и России

Ранее мы сказали, что ход атак группировок PhaseShifters и UAC-0050 (отправка фишингового письма и заражение через документ-приманку или архив с паролем) был подозрительно похож. 

Более того, в 2023 году UAC-0050 использовала Remote Utilities для атаки на польские и украинские организации, а в январе 2024 года группировка начала маскировать это приложение под легитимный CCleaner. В этой же атаке группировка тоже использовала Bitbucket, но уже для хранения архива. 

Точно так же, как UAC-0050, PhaseShifters использовала ВПО, замаскированное под установщик утилиты CCleaner, в своих атаках на компании из Беларуси! Сам файл был SFX-архивом с обфусцированными AutoIt-скриптами. 

Обе группировки использовали AutoIt-скрипты на протяжении примерно полугода, и обе одновременно прекратили их использовать. Интересная особенность этих скриптов заключалась в том, что только три группировки замечены за использованием AutoIt-загрузчика, а именно: PhaseShifters, UAC-0050 и пропалестинская группировка Handala

Первые атаковали польские организации: PhaseShifters делала это в феврале 2024 года, а UAC-0050 атаковала Польшу в ноябре — декабре 2023 года. Основываясь на сходстве используемых техник фишинга, а также на абсолютно идентичной маскировке ВПО, мы сделали предположение о взаимосвязи этих двух группировок. 

Еще больше подозрительно точных сходств

Рассмотрим граф взаимосвязей, который нам удалось создать на основе обнаруженных атак. На схеме белым цветом отображено использование группировкой UAC-0050 некоторых репозиториев из общего списка, желтым — аналогичные связи только со стороны группировки PhaseShifters. Зеленым цветом в представлении графа показан анализ цепочки атаки, а фиолетовым — дополнительная информация. 

Как видно из графа, некоторые репозитории используются обеими группировками. И если взаимодействие с картинкой еще можно объяснить покупкой одного и того же криптера, о котором говорилось ранее, то использование одного и того же репозитория с полезной нагрузкой объяснить сложнее. Дело в том, что репозиторий с вредоносным ВПО указывается пользователем в обфускаторах как ссылка на полезную нагрузку. Получается, что обе группировки вручную указали эти ссылки.

А теперь рассмотрим другие атаки группировок PhaseShifters и UAC-0050, в которых также использовался один репозиторий: bitbucket[.]org/sdgw/sdge/downloads/ (более недействителен).

Со стороны группировки UAC-0050 такой репозиторий использовался в цепочке атаки с файлом Копія з позначкою банку.vbs, загружая в качестве полезной нагрузки файл bitbucket.org/sdgw/sdge/downloads/meduza[.]txt, после декодирования Base64 становящийся стилером Meduza. 

Группировка PhaseShifters использовала этот репозиторий в цепочке атаки с файлом Проект распоряжения правительства Курской области.pdf.zip. Полезная нагрузка скачивалась по ссылке bitbucket[.]org/sdgw/sdge/downloads/mbFgnhd[.]txt, что является DarkTrack RAT — характерным для них ВПО.

Таким образом, в одном репозитории находились и стилер Meduza, использование которого запрещено правилами теневого форума для атак на российские организации и российских пользователей в целом, и DarkTrack RAT, который был обнаружен в атаках на территории России. Позже, 15 октября 2024 года, вышла новость с упоминанием этих репозиториев. Странная получается ситуация.

Все точки над i

Мы убедились, что PhaseShifters копирует технику UAC-0050. Кроме того,  мы уже в который раз наблюдаем, что это копирование начинается с небольшим промежутком в несколько недель. 

Может, PhaseShifters — просто искусные подражатели, а может, PhaseShifters и UAC-0050 — это одна и та же группировка, атакующая как Россию, так и Украину. Мы склоняемся ко второму варианту, но не можем утверждать наверняка.

Сетевые индикаторы и матрица MITRE ATT&CK

Сетевые индикаторы

Индикатор

Тип индикатора

Назначение

raw.githubusercontent.com/santomalo/audit/main/img_test.jpg?\d+

Общий. Картинка из репозитория используется в атаках нескольких группировок

GitHub-репозиторий с картинкой, внутри которой — полезная нагрузка

bitbucket.org/hgdfhdfgd/test/downloads/new_image.jpg?\d+

Общий. Картинка из репозитория используется в атаках нескольких группировок

Bitbucket-репозиторий с картинкой, внутри которой — полезная нагрузка с Ande Loader

bitbucket.org/shieldadas/gsdghjj/downloads/img_test.jpg?\d+

Общий. Картинка из репозитория используется в атаках нескольких группировок

Bitbucket-репозиторий с картинкой, внутри которой — полезная нагрузка с Ande Loader

bitbucket.org/rulmerurk/ertertqw/downloads/.*\.txt

Индивидуальный индикатор для PhaseShifters

Bitbucket-репозиторий с закодированной полезной нагрузкой

bitbucket.org/fasf24124/fdgfytrj/downloads/.*\.txt

Индивидуальный индикатор для PhaseShifters

Bitbucket-репозиторий с закодированной полезной нагрузкой

bitbucket.org/fwfsfw/fwf/downloads/.*\.txt

Общий индикатор. Репозиторий используется несколькими группировками по всему миру

Bitbucket-репозиторий с закодированной полезной нагрузкой

bitbucket.org/sdgw/sdge/downloads/.*\.txt

Общий индикатор. Репозиторий используется несколькими группировками по всему миру

Bitbucket-репозиторий с закодированной полезной нагрузкой

45.143.166.100

Индивидуальный. Используется только группировкой PhaseShifters

DarkTrack C2

94.156.79.57

DarkTrack C2

Матрица MITRE ATT&CK

Reconnaissance

T1135

Network Share Discovery

Группа PhaseShifters сканировала сетевые папки, доступные через протокол SMB 

Resource Development

T1588.001

Obtain Capabilities: Malware

Группа PhaseShifters предположительно приобретала криптер или подписку на криптер

T1608.001

Stage Capabilities: Upload Malware

Группа PhaseShifters сама или с помощью третьих лиц загружала вредоносное ПО в Bitbucket-репозиторий

Initial Access

T1566.001

Phishing: Spearphishing Attachment

Группа PhaseShifters посылала фишинговые письма в различные компании и прикрепляла запрошенные архивы с паролем, который находился в теле письма

Execution

T1059.001

Command and Scripting Interpreter: PowerShell

Группа PhaseShifters запускала обфусцированные PowerShell-скрипты

T1059.003

Command and Scripting Interpreter: Windows Command Shell

Группа PhaseShifters запускала обфусцированные файлы с помощью cmd.exe

T1059.005

Command and Scripting Interpreter: Visual Basic

Группа PhaseShifters использовала обфусцированные VBS-скрипты

Persistence

T1547.001

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Вредоносные файлы группировки PhaseShifters закреплялись в папке Startup

Defense Evasion

T1027

Obfuscated Files or Information

Группировка PhaseShifters использовала Base64 для шифрования полезной нагрузки

T1027.002

Obfuscated Files or Information: Software Packing

Группировка PhaseShifters использовала UPX и Themida

T1027.003

Obfuscated Files or Information: Steganography

Группировка PhaseShifters использовала технику стеганографии в картинках, находящихся в Bitbucket-репозитории

T1027.010

Obfuscated Files or Information: Command Obfuscation

Криптер, который использовала группа PhaseShifters, обфусцировал PowerShell-код

T1036

Masquerading

Группировка PhaseShifters маскировала EXE-файлы, используя иконки легитимных программ и других расширений

T1036.007

Masquerading: Double File Extension

Группировка PhaseShifters маскировала EXE-, DOCX- или LNK-файлы, используя двойные расширения, например .docx.exe

T1036.008

Masquerading: Masquerade File Type

На Bitbucket, которые использовала PhaseShifters, вредоносные файлы хранились в закодированном виде с расширением .txt

T1140

Deobfuscate/Decode Files or Information

Вредоносное ПО группировки PhaseShifters декодировало полезную нагрузку, полученную в процессе заражения

T1564.003

Hide Artifacts: Hidden Window

В криптере, который использовала группировка PhaseShifters, использовался флаг -hidden для сокрытия выполнения PowerShell-скрипта

Discovery

T1057

Process Discovery

Группировка PhaseShifters использовала PowerShell-команды для поиска и завершения определенных процессов

T1012

Query Registry

Группировка PhaseShifters собирала информацию о реестре

Command And Control

T1102

Web Service

Группировка PhaseShifters использовала Bitbucket и GitHub для загрузки вредоносного ПО 

T1105

Ingress Tool Transfer

Группировка PhaseShifters использовала Ande Loader для загрузки дополнительного вредоносного ПО

T1571

Non-Standard Port

Группировка PhaseShifters использовала в атаках нестандартные порты, например 1443 и 49162, для коммуникации через TCP-протокол

T1132.001

Data Encoding: Standard Encoding

Группировка PhaseShifters использовала стандартный протокол TLS 1.2, а также закодированные в Base64 строки для шифрования передаваемых данных

Александр Бадаев

Специалист группы киберразведки Positive Technologies

Климентий Галкин

Специалист группы киберразведки Positive Technologies

Комментарии (0)