Поделиться
Хакеры атакуют промышленные предприятия в России, оставляя на прощание криптомайнер
Эксперты «Лаборатории Касперского» опубликовали новое исследование APT-кластера, который специализируется на атаках на российские технические предприятия. Характерной чертой кампании является широкое употребление легитимных утилит.
Грозные посещения
«Лаборатория Касперского» опубликовала новое исследование, касающееся деятельности группировки Librarian Ghouls. Также известная как Rare Werewolf и Rezet, это APT-группа, которая атакует организации в России и странах СНГ. В настоящее время группировка регулярно производит атаки на российские предприятия.
«Одна из характерных черт этой угрозы заключается в том, что злоумышленники не создают собственные вредоносные бинарные модули. Для достижения своих целей группа предпочитает использовать легитимное ПО сторонних разработчиков», - написали исследователи.
Основная функциональность кампании реализована с помощью командных файлов и PowerShell-скриптов.
«Атакующие получают удаленный доступ к устройству жертвы, крадут учетные данные и устанавливают в систему майнер XMRig», - говорится в публикации.
В последнее время группировка отметилась использованием новых для нее инструментов.
Главный начальный вектор заражения группы - узконаправленные фишинговые сообщения, в которых скрыты защищенные паролем архивы с исполняемыми файлами. Как обычно, эти сообщения замаскированы под письма от реальных организаций, а содержимое архивов - под официальные документы. На деле же там целый ворох легитимных и вредоносных инструментов.
Этапы большого пути заразы
Экспертам «Лаборатории» удалось перехватить один из вредоносов: он оказался самораспаковывающимся инсталлятором, cозданным при помощи утилиты Smart Install Maker для Windows. Из него распаковываются три файла: архив (data.cab), конфигурационный файл и ничего не значащая пустышка (runtime.cab).
Вредоносная логика в основном реализована в конфигурационном файле (installer.config).
«Он содержит множество команд для модификации реестра, при помощи которых выполняется автоматическая установка легитимного диспетчера открытых окон 4t Tray Minimizer в систему. Это программное обеспечение может сворачивать запущенные приложения в системный трей, что позволяет атакующим скрывать следы пребывания в зараженной системе,» - пишут исследователи.
После установки 4t Tray Minimizer инсталлятор извлекает три файла из data.cab и помещает их в папку C:\Intel. Из этих трех один является PDF-документом, который не содержит никаких вредоносных составляющих. Второй - это легитимная утилита curl.exe. Третий - файл-ярлык bat.lnk.
Затем инсталлятор создает и запускает командный файл rezet.cmd, который устанавливает соединение с контрольным сервером downdown.ru, скачивает шесть файлов с расширением .jpg и загружает их в тот же каталог C:\Intel. Расширения .jpg заменяются на exe (driver.exe, blat.exe, svchost.exe, dc.exe), rar (Trays.rar) и ps1 (wol.ps1).
Файл driver.exe - это вариант консольной версии WinRAR 3.80. В нем удалены все строки для диалога с пользователем: она может выполнять команды, но не выводит никакую значимую информацию в консоль.
Blat.exe — это легитимная утилита Blat для отправки почтовых сообщений и файлов по SMTP-протоколу. Атакующие используют ее для доставки украденных данных на свой сервер электронной почты. Svchost.exe — ПО AnyDesk для удаленного доступа. Злоумышленники используют эту утилиту для удаленного управления зараженной машиной. Dc.exe — ПО Defender Control, позволяющее отключить встроенный антивирус Windows Defender.
После загрузки файлов скрипт распаковывает Trays.rar при помощи driver.exe и запускает содержавшийся в нем файл Trays.lnk. Этот ярлык позволяет запускать 4t Tray Minimizer свернутым в трей.
Ну, а затем производится установка инструмента для удаленного доступа AnyDesk в каталог C:\Intel\AnyDesk и запускается файл bat.lnk.
Тот, в свою очередь, запускает пакетный файл bat.bat, который выполняет целый ряд вредоносных действий: задает фиксированный пароль к AnyDesk (QWERTY1234566), отключает Windows Defender, и сразу шесть раз запускает утилиту powercfg (отвечающую за настройки электропитания) с различными параметрами.
От заката до рассвета
«Далее bat.bat запускает утилиту schtasks для создания задачи планировщика ShutdownAt5AM, которая выключает ПК жертвы ежедневно в 05:00 утра. Мы полагаем, что таким образом атакующие скрывают следы выполненной вредоносной активности, чтобы у пользователя не возникли подозрения о перехвате контроля над его устройством», - написали эксперты «Лаборатории».
Затем, с помощью PowerShell пакетный файл запускает скрипт wol.ps1. Этот скрипт ежедневно запускает браузер Microsoft Edge в 01:00 по местному времени. По-видимому, это лишь средство вывода системы из спящего режима, после чего у операторов кампании в распоряжении четыре часа для проведения манипуляций на машине жертв.
Файл bat.bat тем временем удаляет инсталлятор AnyDesk, утилиту curl.exe и Trays.rar, а затем задает переменные окружения для работы с утилитой Blat. Эти переменные включают адреса электронной почты, куда будут отправлены данные жертвы, и пароли к этим учетным записям.
Затем вредонос начинает собирать интересующую его операторов информацию. Это, в частности, сведения о криптовалютных кошельках (в т.ч. seed-фразы и дампы веток реестра HKLM\SAM и HKLM\SYSTEM. Собранные данные собираются в два раздельных запароленных архива и отправляются на ресурсы злоумышленников.
Финальным этапом становится инсталляция криптомайнера. Скрипт разворачивает в системе файл настроек bm.json, содержащий адрес пула для майнинга и идентификатор злоумышленников, и скачивает с адреса https://bmapps[.]org/bmcontrol/win64/ исполняемый файл Install.exe. Этот файл ищет в системе указанный файл json и проверяет присутствие процесса bmcontrol.exe.
Этот процесс соответствует контроллеру майнера, и в случае обнаружения вредонос его останавливает. А затем - с того же адреса - скачивает архив с инструментами для майнинга: новую версию инсталлятора, контроллер, утилиты для для запуска, остановки и удаления контроллера и майнер XMRig.
Перед запуском майнера контроллер проверяет количество доступных ядер процессора, объем доступной оперативной памяти и наличие GPU.
По окончании процедуры bat.bat самоудаляется.
Эксперты «Лаборатории» указывают, что, помимо перечисленных выше утилит, отмечено использование ряда других - вполне легитимных - программ для проведения атак.
Это, в частности, DLP-система Mipko Personal Monitor, используемая, по-видимом, для слежки за жертвой; утилита для восстановления паролей WebBrowserPassView, глобальный обратный прокси-сервис ngrok и утилита для скрытного выполнения действий NirCmd.
«Использование легитимных утилит снижает вероятность обнаружения со стороны защитных средств», - отмечает Александр Зонов, эксперт по информационной безопасности компании SEQ. - Это дополнительно увеличивает степень угрозы: злоумышленники могут весьма продолжительное время осуществлять вредоносные действия, не привлекая внимания. «Эффективно противодействовать им можно, по-видимому, только с помощью систем, включающих поведенческий анализ. Впрочем, присутствие майнингового рига там, где его присутствие не предполагалось, выглядит как визитная карточка - или прощальный привет».
К настоящему времени жертвами кампании стали сотни пользователей из России. «В основном кампания нацелена на производственные предприятия; злоумышленников также интересовали технические университеты. Кроме того, описанные атаки затронули пользователей в Беларуси и Казахстане», - пишут исследователи.
По их мнению, деятельность APT Librarian Ghouls «имеет отношение к российско-украинскому конфликту», а ее методы больше всего напоминают деятельность хактивистских групп.
Короткая ссылка
