В начале июля системы мониторинга угроз «Лаборатории Касперского» зарегистрировали две волны целевых почтовых рассылок с вредоносными архивами внутри.
Получателями были сотрудники российских организаций, в основном производственной, государственной, финансовой и энергетической отраслей. Первая волна прошла пятого июля и затронула около 400 пользователей, вторая, более массовая, была замечена десятого июля — получателями стали свыше 550 пользователей. Цифры основаны на данных Kaspersky Security Network — системы сбора телеметрии, содержащей анонимизированную информацию, добровольно предоставленную нашими пользователями.
Некоторые письма представляли собой ответ на настоящую переписку с контрагентами целевых организаций, что может говорить о том, что злоумышленники использовали взломанные почтовые ящики этих контрагентов или ранее украденную переписку. Письма, продолжающие старую переписку, вызывают больше доверия у потенциальных жертв.
Примеры вредоносных писем
Злоумышленники постоянно меняли предлог, под которым просили скачать и открыть вредоносный архив, создавали уникальные и убедительные тексты писем, чтобы не вызвать сомнения у потенциальных получателей зловреда.
В качестве полезной нагрузки атакующие распространяли RAR-архив, который мог находиться во вложении или скачиваться по ссылке на Google Диск в теле письма. В подавляющем большинстве случаев архив был защищен паролем, который также был указан в письме. Названия могли быть разные, в зависимости от темы переписки: «РасчетнаяведомостьТН76_309_от05_07_2024», «Возврат средств реквизиты», «Счет-Фактура», «Договоркх02_523».
Внутри архива находился документ-приманка, а также одноименная папка, содержащая исполняемый файл, обычно с двойным расширением (например, «Счет-Фактура.pdf .exe»). Такая структура архива может использоваться для попыток эксплуатации уязвимости , получившей широкое распространение среди злоумышленников.
Пример содержимого вредоносного архива
В частности, мы заметили в подобных атаках установку утилит rsockstun и ngrok для туннелирования трафика, sshpass для доступа к компьютеру по SSH и других. Кроме того, бэкдор используется для загрузки различных файлов с компьютера жертвы на сервер злоумышленников — как правило, это результаты и логи выполнения различных утилит, но также возможна и загрузка любых других конфиденциальных документов.
Бэкдор может выполнять следующие команды:
Команды бэкдора PhantomDL
Как можно видеть на скриншоте выше, чтобы затруднить обнаружение автоматическими средствами, команды в коде бэкдора написаны задом наперед, а shell также разбита на две строки.
Коммуникация PhantomDL с C2
Интересно, что в качестве C2 используются домены, мимикрирующие под Wildberries и Яндекс Диск: api.wilbderreis[.]ru, api.yandex-disk[.]info. Возможно, таким образом злоумышленники пытаются оставаться незамеченными в зараженной системе. Помимо этого, они использовали взломанный домен крупного российского промышленного предприятия для хостинга модулей бэкдора (после нашего обращения вредоносное ПО с этого домена оперативно удалили).
Пример домена, который PhantomDL использует в качестве C2
В этих письмах распространялись экземпляры вредоносного ПО DarkWatchman RAT, которое предоставляет злоумышленникам удаленный доступ к зараженной системе.
Примеры вредоносных писем в кампании DarkWatchman RAT
Рассмотрим эту кампанию подробнее на примере второго письма. В нем говорится, что во вложении находятся документы из налоговой, которые якобы нужно переслать бухгалтеру. К письму прилагается архив с именем «Документ из налоговой(запрос).rar», внутри которого находится файл «Документ из налоговой(запрос).exe». Этот документ, в свою очередь, является самораспаковывающимся архивом RarSFX.
Содержимое архива RarSFX
Как только пользователь открывает файл, автоматически выполняется скрипт, который запускает PowerShell, добавляет системный диск в исключения Защитника Windows, чтобы он не сканировал этот диск на наличие угроз, и выполняет JScript (7020189421) через службу WScript. Этот скрипт и является основной полезной нагрузкой DarkWatchman RAT.
Выполнение вредоносного скрипта DarkWatchman RAT
При этом пользователю отображается окно с ошибкой.
Запускаемый вредоносный скрипт умеет выполнять команды, полученные с удаленного сервера, с помощью интерпретаторов WSH-, PowerShell- и BAT-скриптов, скачивать и исполнять вредоносные файлы и библиотеки и выгружать пользовательские файлы на сервер. Также в скрипте реализованы функции кейлоггера, самоудаления и периодической очистки кэша браузеров Chrome, Firefox и Yandex Browser.
В случае запуска с правами администратора вредоносный скрипт также может удалить теневые точки восстановления Windows.
Команды, которые поддерживает DarkWatchman RAT
В качестве C2 используются жестко закодированные домены и домены, сгенерированные автоматически при помощи DGA (Domain Generation Algorithm). Алгоритм генерирует строки на основе текущей даты, соли и итератора. Затем для этих строк вычисляется CRC32. Полученные значения используются для создания доменных имен с зонами .space, .shop или .fun. Например, fbobf2b1[.]shop, 73c9efbb[.]space, 3365815f[.]fun.
Получателями были сотрудники российских организаций, в основном производственной, государственной, финансовой и энергетической отраслей. Первая волна прошла пятого июля и затронула около 400 пользователей, вторая, более массовая, была замечена десятого июля — получателями стали свыше 550 пользователей. Цифры основаны на данных Kaspersky Security Network — системы сбора телеметрии, содержащей анонимизированную информацию, добровольно предоставленную нашими пользователями.
Некоторые письма представляли собой ответ на настоящую переписку с контрагентами целевых организаций, что может говорить о том, что злоумышленники использовали взломанные почтовые ящики этих контрагентов или ранее украденную переписку. Письма, продолжающие старую переписку, вызывают больше доверия у потенциальных жертв.
Примеры вредоносных писем
Злоумышленники постоянно меняли предлог, под которым просили скачать и открыть вредоносный архив, создавали уникальные и убедительные тексты писем, чтобы не вызвать сомнения у потенциальных получателей зловреда.
В качестве полезной нагрузки атакующие распространяли RAR-архив, который мог находиться во вложении или скачиваться по ссылке на Google Диск в теле письма. В подавляющем большинстве случаев архив был защищен паролем, который также был указан в письме. Названия могли быть разные, в зависимости от темы переписки: «РасчетнаяведомостьТН76_309_от05_07_2024», «Возврат средств реквизиты», «Счет-Фактура», «Договоркх02_523».
Внутри архива находился документ-приманка, а также одноименная папка, содержащая исполняемый файл, обычно с двойным расширением (например, «Счет-Фактура.pdf .exe»). Такая структура архива может использоваться для попыток эксплуатации уязвимости , получившей широкое распространение среди злоумышленников.
Пример содержимого вредоносного архива
Бэкдор PhantomDL
В случае успешной атаки на устройство жертвы устанавливалось специфичное вредоносное ПО, которое мы классифицируем как Backdoor.Win64.PhantomDL. Оно написано на языке Go, сильно обфусцировано и отличается использованием нестандартной версии упаковщика UPX. PhantomDL впервые появился в марте 2024 года, а предшествовал ему инструмент PhantomRAT, написанный на .NET.В частности, мы заметили в подобных атаках установку утилит rsockstun и ngrok для туннелирования трафика, sshpass для доступа к компьютеру по SSH и других. Кроме того, бэкдор используется для загрузки различных файлов с компьютера жертвы на сервер злоумышленников — как правило, это результаты и логи выполнения различных утилит, но также возможна и загрузка любых других конфиденциальных документов.
Бэкдор может выполнять следующие команды:
- exit — прекратить выполнение;
- None — ожидать следующей команды;
- shell — открыть командную оболочку и выполнить указанную команду;
- download — отправить указанный файл с компьютера на сервер;
- upload — скачать и запустить указанный файл.
Команды бэкдора PhantomDL
Как можно видеть на скриншоте выше, чтобы затруднить обнаружение автоматическими средствами, команды в коде бэкдора написаны задом наперед, а shell также разбита на две строки.
Коммуникация с C2
В отличие от предыдущих версий, использовавших протокол HTTP, коммуникация с С2 в текущей версии бэкдора осуществляется по протоколу .Коммуникация PhantomDL с C2
Интересно, что в качестве C2 используются домены, мимикрирующие под Wildberries и Яндекс Диск: api.wilbderreis[.]ru, api.yandex-disk[.]info. Возможно, таким образом злоумышленники пытаются оставаться незамеченными в зараженной системе. Помимо этого, они использовали взломанный домен крупного российского промышленного предприятия для хостинга модулей бэкдора (после нашего обращения вредоносное ПО с этого домена оперативно удалили).
Пример домена, который PhantomDL использует в качестве C2
Атрибуция атак PhantomDL
На основании применявшегося вредоносного ПО, индикаторов компрометации, а также тактик, техник и процедур злоумышленников можно предположить, что за атаками PhantomDL стоит хакерская группировка, известная как Head Mare.Рассылка DarkWatchman RAT
Стоит отметить, что аналогичные по оформлению, целям, названиям и формату вложений рассылки мы наблюдали и ранее, однако в них распространялось другое вредоносное ПО. В частности, с конца апреля по начало июня рассылались письма с похожим на июльские кампании содержанием: во вложении якобы находились документы, защищенные паролем по требованию министерства, а сам пароль был указан в тексте письма. Вложения назывались в соответствии с темой письма, например «Заявка на рассчет Май 2024.pdf.rar» или «Документ из налоговой(запрос).rar».В этих письмах распространялись экземпляры вредоносного ПО DarkWatchman RAT, которое предоставляет злоумышленникам удаленный доступ к зараженной системе.
Примеры вредоносных писем в кампании DarkWatchman RAT
Рассмотрим эту кампанию подробнее на примере второго письма. В нем говорится, что во вложении находятся документы из налоговой, которые якобы нужно переслать бухгалтеру. К письму прилагается архив с именем «Документ из налоговой(запрос).rar», внутри которого находится файл «Документ из налоговой(запрос).exe». Этот документ, в свою очередь, является самораспаковывающимся архивом RarSFX.
Содержимое архива RarSFX
Как только пользователь открывает файл, автоматически выполняется скрипт, который запускает PowerShell, добавляет системный диск в исключения Защитника Windows, чтобы он не сканировал этот диск на наличие угроз, и выполняет JScript (7020189421) через службу WScript. Этот скрипт и является основной полезной нагрузкой DarkWatchman RAT.
Выполнение вредоносного скрипта DarkWatchman RAT
При этом пользователю отображается окно с ошибкой.
Запускаемый вредоносный скрипт умеет выполнять команды, полученные с удаленного сервера, с помощью интерпретаторов WSH-, PowerShell- и BAT-скриптов, скачивать и исполнять вредоносные файлы и библиотеки и выгружать пользовательские файлы на сервер. Также в скрипте реализованы функции кейлоггера, самоудаления и периодической очистки кэша браузеров Chrome, Firefox и Yandex Browser.
В случае запуска с правами администратора вредоносный скрипт также может удалить теневые точки восстановления Windows.
Команды, которые поддерживает DarkWatchman RAT
В качестве C2 используются жестко закодированные домены и домены, сгенерированные автоматически при помощи DGA (Domain Generation Algorithm). Алгоритм генерирует строки на основе текущей даты, соли и итератора. Затем для этих строк вычисляется CRC32. Полученные значения используются для создания доменных имен с зонами .space, .shop или .fun. Например, fbobf2b1[.]shop, 73c9efbb[.]space, 3365815f[.]fun.
