В январе текущего года группа киберразведки TI‑департамента PT ESC разоблачила ранее неизвестную финансово мотивированную APT‑группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта.

Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.

Kill chain, TTP, инструменты

В качестве вектора проникновения группировка продолжает использовать email‑рассылку c текстом на русском языке с таргетом на сотрудников финансовых подразделений и акцентом на срочности изучения документов во вложении. Прилагаемые к письмам архивы содержат документы‑приманки RTF и.scr‑файлы, являющиеся обфусцированными Themida и.NET Reactor PE билдами RAT‑троянов Revenge и XWorm, использующими названия‑омоглифы, изображение PDF‑документа и невалидные Х.509-сертификаты, якобы выпущенные на имя российских компаний либо имеющие бухгалтерский подтекст.

Обнаруженные экземпляры документов‑приманок RTF, используемые DarkGaboon в текущих кибератаках, загружены группировкой с легитимных ресурсов с шаблонами финансовых документов и стабильно используются с 2023 года.

Рисунок 1. Вредоносное письмо
Рисунок 1. Вредоносное письмо
Рисунок 2. Х.509 сертификат
Рисунок 2. Х.509 сертификат
Рисунок 3. Документ-приманка RTF
Рисунок 3. Документ‑приманка RTF
Рисунок 4. Омоглифы в названии файла
Рисунок 4. Омоглифы в названии файла

Проникнув в атакуемую сеть и закрепившись с использованием RAT‑троянов, DarkGaboon проводит горизонтальную разведку узлов внутренней сети, доступных с зараженного хоста. Упакованный с использованием UPX дроппер расшифровывает с помощью алгоритма AES‑ECB (ключ шифрования — MD5-хеш строки «oKuQzNc8L6QcYdrA5»), извлекает и запускает на зараженном хосте два инструмента:

  • NS.exe: сетевой сканер N.S., обнаруживает и монтирует доступные сетевые шары;

  • 1.exe: командой cleanmgr /sagerun:1 запускает утилиту очистки жесткого диска от временных файлов.

Рисунок 5. Деобфусцированный код дроппера
Рисунок 5. Деобфусцированный код дроппера
Рисунок 6. Сканер сетевых шар «N.S.»
Рисунок 6. Сканер сетевых шар «N.S.»
Рисунок 7. Очистка жесткого диска
Рисунок 7. Очистка жесткого диска

Используемый DarkGaboon экземпляр сетевого сканера N.S. скомпилирован в сентябре 2018 года, а в феврале 2019 года впервые замечен в реальной кибератаке. В настоящее время используется в арсенале многих киберпреступных группировок.

Завершив монтирование доступных сетевых шар, DarkGaboon зашифровывает LockBit-ом доступные файлы и оставляет записку с инструкцией на русском языке по их расшифровке, в которой в качестве контактов указаны два адреса электронной почты. Следы предварительной эксфильтрации зашифрованных данных на инцидентах не выявлены.

Используемая DarkGaboon версия шифровальщика LockBit 3.0 (LockBit Black) в 2022 году попала в открытый доступ и в настоящее время используется многими группировками.

Рисунок 8. Записка с инструкцией по расшифровке файлов
Рисунок 8. Записка с инструкцией по расшифровке файлов

В завершение кибератаки DarkGaboon зачищает цифровые следы, демаскирующие управляющую инфраструктуру, путем запуска BAT‑файла, который удаляет RAT‑троян с сессией удаленного подключения к зараженному хосту и самого себя.

Рисунок 9. BAT-файл
Рисунок 9. BAT‑файл

Сетевая инфраструктура

В отличие от предыдущих кибератак, в которых DarkGaboon для рассылки вредоносных писем использовала ранее скомпрометированные email, в рамках текущей киберкампании рассылка вредоносных писем осуществляется с расположенного в России SMTP‑сервера с PHPMailer и 53 делегированных ему доменов в российской доменной зоне.ru, часть из которых была зарегистрирована еще в августе 2024 года.

Инфраструктура для управления RAT‑сессиями на зараженных хостах претерпела незначительные изменения: DarkGaboon продолжает использовать группы доменов Dynamic DNS, в том числе созвучные с африканским гигантом Килиманджаро, и виртуальный Windows‑хост с RDP‑подключением, как и прежде арендованный в сетях американского провайдера хостинга Nybula LLC, однако на этот раз также получивший африканскую прописку на Сейшельских островах.

Указанный в инструкции домен room155[.]online не является публичным сервисом и, вероятнее всего, принадлежит группировке. Домен и соответствующий ему TLS‑сертификат впервые были зарегистрированы в марте 2023 года, что совпадает с периодом начала активности DarkGaboon. Сервер, указанный в DNS‑записях домена, является проксирующим: ему одномоментно делегированы порядка 500 доменных имен, на 53-м сетевом порте функционирует программное обеспечение PowerDNS, а сам домен неоднократно менял записи DNS (A), первая из которых относилась к серверу в сети украинского провайдера хостинга. Анализ DNS‑записей позволил обнаружить активные субдомены, связанные с веб‑интерфейсом электронной почты и хранилищем WebDav.

Рисунок 10. Интерфейс аутентификации в WebMail
Рисунок 10. Интерфейс аутентификации в WebMail
Рисунок 11. Интерфейс аутентификации в хранилище WebDav
Рисунок 11. Интерфейс аутентификации в хранилище WebDav
Рисунок 11. Интерфейс аутентификации в cPanel
Рисунок 11. Интерфейс аутентификации в cPanel

Артефакты

Адреса электронной почты, указанные в обнаруженных на инцидентах записках, ранее фигурировали в кибератаках с использованием шифровальщика LockBit на финансовые подразделения российских компаний в марте — апреле 2023 года, что так же, как и период регистрации домена и TLS ‑сертификатов, совпадает с периодом начала активности DarkGaboon. Текст записок 2025 года в целом схож с текстом записок 2023 года, однако был убран TOX‑идентификатор злоумышленников и добавлен комментарий о нежелательности использования для коммуникации российских почтовых сервисов, Gmail и Proton.

Рисунок 12. Сообщение на форуме 2023 года с email DarkGaboon
Рисунок 12. Сообщение на форуме 2023 года с email DarkGaboon
Рисунок 13. Сообщение на форуме 2023 года с email DarkGaboon
Рисунок 13. Сообщение на форуме 2023 года с email DarkGaboon
Рисунок 14. Записка 2023 года с инструкцией по расшифровке файлов
Рисунок 14. Записка 2023 года с инструкцией по расшифровке файлов

Заключение

В целом DarkGaboon продолжает придерживаться тактики использования опенсорс‑решений: RAT‑троянов Revenge, XWorm, шифровальщика LockBit и сетевого сканера N.S. — что позволяет группировке затеряться на общем фоне многочисленных кибератак с использованием этих инструментов.

Однако артефакты, обнаруженные в рамках киберразведки и реагирования на инциденты, позволили PT ESC связать DarkGaboon с целой серией кибератак 2023–2025 годов на российские компании с использованием шифровальщика LockBit, целью которых является извлечение финансовой выгоды путем шифрования компьютерной информации компаний и вымогательства денежных средств за ее расшифровку.

При этом DarkGaboon не является клиентом RaaS‑сервиса LockBit и действует самостоятельно, на что указывают такие факты, как использование попавшей в открытый доступ версии шифровальщика LockBit, отсутствие в атакованных компаниях следов эксфильтрации данных и традиционных угроз опубликовать украденную информацию на DLS‑портале.

PT ESC, как и ранее, прогнозирует сохранение высокой активности APT‑группировки DarkGaboon в отношении российских компаний, продолжит отслеживать ее активность и своевременно предупреждать жертв о готовящихся кибератаках.

Индикаторы компрометации

Архивы

02023bc19eb1cb987d350cdf2b7c60b9142025a03f6a93efc0d243daec5cdf5b

0acc2f5a85282cdaea23cfbb0e78b73dd2d4d6e194da0f885acce0819240811b

41bbc46d96f3f9329aa53c8d239c30988a332fd9a03e724d73c82193e1b5a97a

4866772541b5ab893dca6905ee069b119b58778daa45fb673b7361d7b27458d2

5af2d7fedbaa78758e8fbb6ea0a0cbd1cca981df52008f10560151f9212a0c15

8ed2849034485f817f7622675e546c7c3d9542e049f55b1d027cb2a647187e99

b509d7ac35c6e623db52e284495bb0d8d03144940524a92e95b0c2d0283a291e

d3155bdd8c4dea57b41fe0200806382836df5c7049be8021c7bed14e2bf6c79e

d931ed0c3da566e48df473403194f2546479208d3b9b83d9956a726c9c384a36

e95c5c29e22613662ab9afba331b93338992e6717be8d9fa60cc22d5f44f828a

fb9c92d2491e2e659b0c7ab5069af9f65b1825452f3cc25098c5c474aeb52464

26910be32d61e27fcdc021f63d47d32c2737e19c8e8a3a579a0284c58f3d9d58

3fc5a5d655debfac40833c9c2a08c492de317c4f0c3963512ba777df7106cd72

b53fd63a70f1e22cc87af05865855d8b99b04ffd527aacc73c70deca44fbbf1f

db8adfa9d7e48cdc7656f7edeccac256048e805b0ff09430d352ecf0dcc25f67

RAT‑трояны

0520a212d6d20cb0b2c89e5951318b15444898349a220730526c9987c5f1e3e4

0afccbfc1d3706f151e1541148f9197a517d5d988339eb268d9eecea78a705d6

14fe6ed3f29ec0c6063bf640aa54e6dddd0b722a7462cec3afda6e0bca50a6b5

1ad02fe8314924e7e149a364c871eaccd70e01121c1447887496d35f842396bb

2a6b561674a8a6e82f53a81a8833e172b894112fc788a2a4e90a9fa90daeb3f4

348d501097ec2efb17a7b2fb6f3ff63e0b9990d0ba7d3de93c1c04c0fff3becc

3755718db9d33f4aba2563de454d4530a308b41b1096c904102d08e2101f2020

38bfe75c845a89bbdad6ca7f622a19bc12424e7bce7532a1e0e7c77dcffa5a2c

454d665b598ea0baba192a88cceb1b93f3a034b851db8ac01521b75dc979fb5c

46b402b3ac3add312a2aa21210c25f8086b76b4089284ed6bb689426e55a67c2

55d05771086c5acc0c6275be9e1366819b5bb941a1bfb85ea4a1721ce6486a85

592d006cd1961e88071e7f033325727e505660d17a40044bd187539c2baec8ed

7a8c864ed8b7ca908d3f317d7e63a30a85fb3e8c94070f23f2cf0bfa01c5e0b5

7f4b0d9b4ba2013a4bdc441b76255fe2c328b5629138c414d78f6353cd9d8c24

804e178da6e0088a2a05bfbfdf04453f53b2fff3cc4a7b928c34d2ebeddc0d95

95d4b896778053d6bca170f40b0b406bfd79f0851f27e1c065f9b5c4d1bef361

96803c9ec9fb0765b70d2fdd945b5507a4ee02221c0e023b7e9f71fb5bf43a76

b13939038ab437abde638c860fcf74518c7a3741c2edb0ba4c6bd796e8262a22

c5ad7a3f3322f9a266158cf398573a4c2bd02ab0120275f783b127f0f48cc595

ccf106fadee42ec9cd4570f234b7cdd258cc8f4cc558325a0c4ec4a49eca6070

e6db31b5a99374473de9ffc73726e637ef57cbe4178399e3163a202d6b53b093

3602dcb3dff99b150b8a6f12457c965b9ec7a883a3ecd455b025962346948fb8

9444422ae252d58d039696b23de816ee6ebe8bcb96257c3b4718a7c80256552e

9d03a2be6eb6645c9590d7060e0fc151975ac329224e787e98ae046502fe74ad

e708b6fffd322a1f024c6af4c65524a1c0f6c4b1e7ca36384a25c567d52f5e13

0fbd3fffb7370922419865da86c34f1d6e846f3c5e1645175c0a95efbb6b4105

25a9af3c85cba3ffd5a336cd6f17b82f0cc25e8020a6aed5a36039fbbd51d4eb

3b2b5251c3fc27fe3b2e1223e5d634edfe3abf63ea9576787335015c201899a9

90307be8bbd4f52050fb2dc6aac599dd8f0067fd46500b9374efe2bc596d3e03

2b37616addfdbc9ba9509f0bd70be3ab13d184c5082e59640c9df6fcd3454465

352c65c2a10165a5a26977b3f72a1eb248987921fb4ae3350542af665bd8ecd9

c043c0936b35a81e0349b359028e824d58b8b02292c420dba8ac23463ede51c4

Дроппер

7ebf9a48fc1ee251c6be9a21e008b7f16d32de17d80cf97ca0fda8b9199fe0b7

Сетевой сканер N.S.

f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

BAT‑файл

5cfcfecf6639a99bdbadbf083129ae81f6fa33bfbeb1c3152e161d6d8fd12b70

C2-инфраструктура управления RAT-троянами

196.251.66.118

myhost.servepics.com

myhost.misecure.com

kilimanjaro.theworkpc.com

Инфраструктура, используемая для рассылки вредоносных эл. писем

185.185.70.85

xa-it.ru

it-loms.ru

in-lits.ru

ri-lil.ru

ji-la.ru

it-pips.ru

ji-gops.ru

ut-li.ru

bn-ki.ru

bl-xp.ru

bm-si.ru

bs-ku.ru

nefgi.ru

bj-ki.ru

gd-rl.ru

gc-li.ru

zi-gile.ru

be-blo.ru

x2y4z6a8-b9c0.ru

m5n7o1p3-q4r2.ru

b8c1d4e9-f2g3.ru

u6v9w2x3-y4z7.ru

q9r2s8t1-u4v5.ru

h3i6j0k4-l7m8.ru

t4u5v6w9-x0y1.ru

l9m2n5o3-p4q6.ru

p1q7r8s2-t3u9.ru

n9o2p0q1-r1z4.ru

k1j9p4-t5q3.ru

h4j3k2-a8nips7.ru

b9c1d6-x0yol4.ru

t9u2w3-v5xex1.ru

c3d7e0-l2mis5.ru

y1z4x7-t8bxt2.ru

c6d2e9f4-g3hxas7.ru

v7w4x1y3-z2axl9.ru

d6e3fiz7-h4ti1.ru

x9y5z1-u2t3bn3.ru

j8k9lxds4-p1q6.ru

a4b7c3-f0gl1iz9.ru

l9o2m6-k1siv2j8.ru

s7t1v3-w4sanx9.ru

m6o7l2-w3von8.ru

h6i1g9-d3z1ze8.ru

g7f3h2-p9qua16.ru

reisebuero-ed50765elmann.ru

l7f9v2-n1m4p3.ru

t9u4g7k8d2y8v6-w1x3g92.ru

y8z6x4-a1b6g1o62.ru

r2s5t1-x8y6.ru

t0u5v3-w5jk27zn79x8.ru

m2o9l8-k3jk6v3ol51s4.ru

z8y3g8h9b5n4-a9m5x1r2n.ru


Виктор Казаков

Ведущий специалист группы киберразведки PT ESC Threat Intelligence

Комментарии (0)