В апреле этого года ФБР опубликовало
об атаках, нацеленных на государственные и правоохранительные органы, а также некоммерческие организации.
Злоумышленники загружают на устройства жертв скрипты, доставляющие сразу несколько вредоносных программ разных типов. В частности, атакующие пытаются использовать ресурсы компаний для майнинга, крадут данные с помощью кейлоггеров и получают доступ к системам через бэкдор.
Различные скрипты, исполняемые файлы и ссылки на них, связанные с этой кампанией, мы обнаруживали с конца 2022 года. На момент написания статьи мы продолжали находить новые версии, поэтому угроза для B2B-сектора все еще является актуальной. Ресурсы и данные предприятий остаются под угрозой.
Исследуя индикаторы компрометации, указанные в апрельском отчете, мы обнаружили в нашей телеметрии за август этого года неопубликованные ранее вредоносные скрипты, которые пытаются манипулировать Защитником Windows ( – runxm1.cmd и – start.cmd). По косвенным признакам мы можем предполагать, что скрипты попадают в инфраструктуру компаний в основном в результате эксплуатации уязвимостей на серверах и рабочих станциях.
Сначала скрипт start.cmd пытается отключить защиту через реестр:
Отключение Защитника Windows в скрипте start.cmd
Если это удается, скрипт runxm1.cmd пытается занести несколько файлов в исключения. Эти файлы используются на разных этапах атаки, и подробнее мы расскажем о них ниже.
Добавление файлов в исключения Windows Defender
Также этот скрипт получает права администратора и переименовывает папки известных ему защитных решений, чтобы помешать их запуску на зараженном устройстве:
Переименование защитных решений
Затем оба скрипта обращаются к домену, на котором расположена некая платформа, показывающая курс криптовалют в реальном времени (в настоящее время домен недоступен):
С этого домена скрипты пытаются скачать различные исполняемые и конфигурационные файлы:
Загрузка файлов
Скрипт start.cmd впоследствии пытается запустить RtkAudio.exe, используя содержимое config.txt для конфигурации:
Запуск файла RtkAudio.exe с config.txt в качестве аргумента
Заглянув внутрь файла конфигурации, можно сразу понять, что он относится к майнеру. В данном случае злоумышленники хотят использовать зараженное устройство для генерации криптовалюты Monero (XMR):
Содержимое файла config.txt
Посмотрев на строки файла, которому передается конфигурация, мы убеждаемся, что это действительно майнер:
Посмотрим, фигурируют ли другие скачанные файлы в коде start.cmd. Мы видим, что путь до View.exe присваивается в качестве значения переменной PlayMusic:
Переменная PlayMusic
В дальнейшем, убедившись, что View.exe присутствует в системе и является исполняемым файлом, start.cmd обращается к этой переменной и скрытно запускает файл:
Запуск View.exe
Запустив View.exe вручную на виртуальной машине, мы увидели, что он сохраняет несколько файлов по пути C:\Users\Public. Среди них есть копии IntelSvc и RtkAudio, а также некоторые другие исполняемые файлы:
Файлы, сохраненные View.exe
Открыв в IDA один из них, а именно Systemfont.exe, мы убедились, что он отслеживает нажатия клавиатуры и имеет типичную структуру кейлоггера:
Код и структура файла Systemfont.exe
Запустив Systemfont.exe на виртуальной машине отдельно от остальных файлов, создадим новый текстовый документ и что-нибудь напишем:
В папке, где находится исполняемый файл, сразу появляется архив tempfont.rar:
Если открыть этот архив в HEX-редакторе, можно увидеть всю последовательность нажатых нами клавиш на клавиатуре и кнопок мыши:
Теперь рассмотрим более подробно IntelSvc.exe, который также запускается при помощи start.cmd. После старта он примерно раз в минуту делает запрос к C2 и перезаписывает файл log.json в ожидании команд. Такое поведение типично для бэкдора.
Активность IntelSvc.exe
В файле log.json содержатся аргументы для конфигурации дальнейшей работы бэкдора:
Содержимое файла log.json
Открыв IntelSvc.exe в IDA, мы можем увидеть команды, которые он способен выполнять:
Команды, которые может выполнять IntelSvc.exe
Также этот исполняемый файл создает папку для размещения файлов конфигурации и логов:
Среди файлов в этой папке интерес представляет web.ttf, который содержит IP-адрес C2-сервера:
Содержимое файла web.ttf
Кампания, описанная в этой статье, яркая тому иллюстрация: помимо программы для генерации криптовалюты атакующие загружают на устройства жертв кейлоггер, способный красть пароли и любую другую информацию, вводимую с клавиатуры, а также бэкдор. Чтобы защититься от подобных угроз, компаниям необходимо постоянно улучшать и обновлять свои системы безопасности, ведь атакующие регулярно дорабатывают и совершенствуют свои инструменты, системы и навыки в попытках пробить защиту предприятия.
Злоумышленники загружают на устройства жертв скрипты, доставляющие сразу несколько вредоносных программ разных типов. В частности, атакующие пытаются использовать ресурсы компаний для майнинга, крадут данные с помощью кейлоггеров и получают доступ к системам через бэкдор.
Различные скрипты, исполняемые файлы и ссылки на них, связанные с этой кампанией, мы обнаруживали с конца 2022 года. На момент написания статьи мы продолжали находить новые версии, поэтому угроза для B2B-сектора все еще является актуальной. Ресурсы и данные предприятий остаются под угрозой.
Исследуя индикаторы компрометации, указанные в апрельском отчете, мы обнаружили в нашей телеметрии за август этого года неопубликованные ранее вредоносные скрипты, которые пытаются манипулировать Защитником Windows ( – runxm1.cmd и – start.cmd). По косвенным признакам мы можем предполагать, что скрипты попадают в инфраструктуру компаний в основном в результате эксплуатации уязвимостей на серверах и рабочих станциях.
Сначала скрипт start.cmd пытается отключить защиту через реестр:
Отключение Защитника Windows в скрипте start.cmd
Если это удается, скрипт runxm1.cmd пытается занести несколько файлов в исключения. Эти файлы используются на разных этапах атаки, и подробнее мы расскажем о них ниже.
Добавление файлов в исключения Windows Defender
Также этот скрипт получает права администратора и переименовывает папки известных ему защитных решений, чтобы помешать их запуску на зараженном устройстве:
Переименование защитных решений
Затем оба скрипта обращаются к домену, на котором расположена некая платформа, показывающая курс криптовалют в реальном времени (в настоящее время домен недоступен):
С этого домена скрипты пытаются скачать различные исполняемые и конфигурационные файлы:
- intelsvc.exe ( ),
- View.exe ( ),
- rtkaudio.exe/rtkaudio.txt ( )
- config.txt ( ).
Загрузка файлов
Скрипт start.cmd впоследствии пытается запустить RtkAudio.exe, используя содержимое config.txt для конфигурации:
Запуск файла RtkAudio.exe с config.txt в качестве аргумента
Заглянув внутрь файла конфигурации, можно сразу понять, что он относится к майнеру. В данном случае злоумышленники хотят использовать зараженное устройство для генерации криптовалюты Monero (XMR):
Содержимое файла config.txt
Посмотрев на строки файла, которому передается конфигурация, мы убеждаемся, что это действительно майнер:
Посмотрим, фигурируют ли другие скачанные файлы в коде start.cmd. Мы видим, что путь до View.exe присваивается в качестве значения переменной PlayMusic:
Переменная PlayMusic
В дальнейшем, убедившись, что View.exe присутствует в системе и является исполняемым файлом, start.cmd обращается к этой переменной и скрытно запускает файл:
Запуск View.exe
Запустив View.exe вручную на виртуальной машине, мы увидели, что он сохраняет несколько файлов по пути C:\Users\Public. Среди них есть копии IntelSvc и RtkAudio, а также некоторые другие исполняемые файлы:
Файлы, сохраненные View.exe
Открыв в IDA один из них, а именно Systemfont.exe, мы убедились, что он отслеживает нажатия клавиатуры и имеет типичную структуру кейлоггера:
Запустив Systemfont.exe на виртуальной машине отдельно от остальных файлов, создадим новый текстовый документ и что-нибудь напишем:
В папке, где находится исполняемый файл, сразу появляется архив tempfont.rar:
Если открыть этот архив в HEX-редакторе, можно увидеть всю последовательность нажатых нами клавиш на клавиатуре и кнопок мыши:
Теперь рассмотрим более подробно IntelSvc.exe, который также запускается при помощи start.cmd. После старта он примерно раз в минуту делает запрос к C2 и перезаписывает файл log.json в ожидании команд. Такое поведение типично для бэкдора.
Активность IntelSvc.exe
В файле log.json содержатся аргументы для конфигурации дальнейшей работы бэкдора:
Открыв IntelSvc.exe в IDA, мы можем увидеть команды, которые он способен выполнять:
Команды, которые может выполнять IntelSvc.exe
Также этот исполняемый файл создает папку для размещения файлов конфигурации и логов:
Среди файлов в этой папке интерес представляет web.ttf, который содержит IP-адрес C2-сервера:
Содержимое файла web.ttf
Статистика и цели
С мая 2023 года мы обнаружили более 10 000 атак на более 200 пользователей по всему миру. Атаки нацелены на B2B-сектор, среди потенциальных жертв присутствуют как крупные предприятия, так и SMB, работающие в различных сферах, в том числе государственные органы, сельскохозяйственные организации и компании, занимающиеся оптовой и розничной торговлей. Согласно собранной статистике, чаще всего описанные выше угрозы встречались в следующих странах:- Россия
- Саудовская Аравия
- Вьетнам
- Бразилия
- Румыния
Заключение
B2B-сектор по-прежнему привлекает злоумышленников, и при успешных атаках они пытаются использовать его ресурсы для обогащения всеми возможными способами. Даже если заражение майнерами кажется вам незначительной проблемой, стоит иметь в виду, что если атакующие смогли загрузить в инфраструктуру компании майнер, они смогут загрузить и более опасное ПО.Кампания, описанная в этой статье, яркая тому иллюстрация: помимо программы для генерации криптовалюты атакующие загружают на устройства жертв кейлоггер, способный красть пароли и любую другую информацию, вводимую с клавиатуры, а также бэкдор. Чтобы защититься от подобных угроз, компаниям необходимо постоянно улучшать и обновлять свои системы безопасности, ведь атакующие регулярно дорабатывают и совершенствуют свои инструменты, системы и навыки в попытках пробить защиту предприятия.
