Поделиться
Новая кибершпионская группировка атакует российскую промышленность
Исследователи опубликовали сведения о вредоносном кластере Telemancon. Группировка названа «прогосударственной», что означает ее аффилированность со спецслужбами.
Сложные комбинации
Специалисты ИБ-компании F6 (бывшая F.A.C.C.T) сообщили об обнаружении ранее неизвестной группировки, которой было присвоено имя Telemancon.
Название было выбрано на основе конкретных присущих ей черт:
«tele» — поскольку используемое ВПО TMCShell подключается к сервису https://telegra.ph для получения адресов C2;
«man» — от слова «manufactory», поскольку основными целями являются промышленные организации;
«con» — поскольку нагрузка во всех раскрытых на текущий день атаках сохраняется в папку %userprofile%\Contacts\.
Группировка названа «прогосударственной», что означает ее аффилированность со спецслужбами.
«Выявленные атаки, судя по содержимому документов-приманок, были направлены на российские организации в сфере промышленности. В частности, были зафиксированы две рассылки в адрес компаний из сферы машиностроения. Группа использует в атаках самописный дроппер и бэкдор, которым были даны имена соответственно TMCDropper и TMCShell», — пишут исследователи.
Самая ранняя активность группы датируется февралем 2023 г.
4 февраля 2025 г. на публичную «песочницу» (изолированную среду) было загружено письмо, направленное сотруднику российской компании, занимающейся разработкой и производством военной техники и другого транспорта.
Вложение содержало архив с исполняемым файлом с расширением .scr (обычно это расширение скринсейверов Windows). При его запуске в систему загружался дроппер на языке С++, который демонстрировал объекту атаки документ-приманку. Одновременно вредонос осуществлял проверку, не находится ли он в среде отладки. В случае, если защищенной среды обнаружить не удавалось, он извлекал из архива и устанавливал бэкдор TMCShell.
Этот файл закреплялся в системе через модификацию реестра.
В данной конкретной атаке внимание привлекает атипичное расширение бэкдора — vyecs.aozwu. Дроппер модифицировал настройки системы для запуска файлов с расширением .aozwu таким образом, чтобы их открывал процесс powershell.exe. Заодно он изменял настройки отображения консоли, модифицируя ключ реестра.
Сам по себе бэкдор представляет обфусцированный Powershell-скрипт, который выполняет подключение к легитимному сервису https://telegra.ph; адрес URL-страницы генерируется на основе текущей даты.
Позднее наблюдались еще несколько схожих по манере выполнения атак, уже с другими именами вредоносных файлов.
Исследователи уточняют, что ранние версии TMCDropper были написаны на C++, но был найден и вариант, написанный на C#.
Во всех случаях имело место сложная цепочка действий, направленных на установку вредоносов в систему. Дроппер, в частности, расшифровывает и запускает в памяти сразу четыре модуля, первые два из которых осуществляют проверку окружения, третий — изменяет системные настройки, распаковывает скрипт Powershell и закрепляет его автозапуск, а четвертый выполняет извлечение приманки из ресурсов основного модуля и запускает его.
Игра в имитацию
Эксперты F6 предполагают, что за этими атаками может стоять группа Core Werewolf.
«При рассмотрении содержимого других приманок становится понятно, что группа нацелена на промышленность, а особое внимание уделяет военной промышленности, что также совпадает с нацеленностью группы Core Werewolf. Помимо этого, выявленная активность использует не самый банальный метод сокрытия адресов C2, основанный на использовании сервиса telegra.ph. Согласно исследователям, такая техника для хранения адреса C2 уже была замечена в арсенале другой группировки Gamaredon, но в более простом виде, без генерации URI-пути и проверки подписи», — пишут исследователи.
Группу Core Werewolf иногда называют «PseudoGamaredon», поскольку она часто копирует методики атак группировки Gamaredon.
Однако собранной к настоящему моменту информации недостаточно для стопроцентной атрибуции, так что вредоносный кластер отслеживается как Telemancon.
«Атрибуция кибератак всегда затруднительна, и особенно сейчас, когда кибератаки нередко осуществляются «под чужим флагом», чтобы сбить исследователей со следа, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. Но с коллегами из F6 сложно не согласиться в их оценке Telemancon как кластера, аффилированного с другим государством. Это явно профессиональные кибершпионы, прекрасно знающие, что они делают и зачем».
Короткая ссылка
