Кибершпионская APT-группа Sticky Werewolf, вероятно, попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного доступа Ozone RAT. Напомним, что в конце января в России перестали работать антивирус Avast и программа очистки CCleaner — по этой причине старые чешские программы стали опять на слуху, чем решили, видимо, воспользоваться атакующие.
В пятницу, 9 февраля, с разницей в 5 минут на платформу VirusTotal были загружены сначала вредоносная ссылка, а затем самораспаковывающийся архив (SFX), скачиваемый по ней. Так как ссылка и SFX-архив были загружены из одного источника, аналитики полагают, что потенциальная цель атаки Sticky Werewolf может располагаться в Республике Беларусь.
Исследователей из департамента Threat Intelligence компании F.A.C.C.T. привлек необычно большой размер скачиваемого файла — 75.79 МБ. Дело в том, что на этот раз в качестве приманки использовался не легковесный документ, а установщик CCleaner — программы для очистки и оптимизации Windows, который и увеличил размер SFX-архива.
Сам SFX-архив с именем ccleaner_downloads.exe был подготовлен в NSIS Installer и, помимо вышеупомянутого установщика CCleaner, содержит SFX-архив ChemExamples.exe, подготовленный в 7z. В нем — различные файлы, среди которых обфусцированный AutoIt-скрипт и обфуцированный BAT-файл, собирающий из остальных файлов легитимный интерпретатор AutoIt. После запуска AutoIt-скрипта в память процесса ipconfig.exe внедряется вредоносная программа, представляющая из себя модуль загрузки трояна удаленного доступа Ozone RAT.
Напомним, что Sticky Werewolf — это кибершпионская группа, атакующая госучреждения и финансовые компании в России и Белоруссии. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, стилер MetaStealer (вариация RedLine Stealer).
В декабре 2023 года Sticky Werewolf дважды атаковали через почтовые рассылки российскую фарму, прикрываясь Министерством по чрезвычайным ситуациям и Минстроем, а в январе 2024 года атаковала российские организация фейковыми письмами, якобы от имени ФСБ.
Индикаторы компрометации:ccleaner_downloads.exeMD5: bf3eafa83b3bdee1f42cc9fb3bd66eb0SHA-1: ca65a505196383e9bd06500e2d80cd2219191969SHA-256: a015790f512784ec1e552402c60c402d6ff292143ab888811cd8bb70da572860
ChemExamples.exeMD5: d8c6199b414bdf298b6a774e60515ba5SHA-1: 3436370107bb02f0966acc2d104ed1edc99a1896SHA-256: e50987f5f13de4a552778a691032d9fce3a102bfad3fb5b7edc4c48d2aa3b4f2
g, hMD5: b579010d05f9af4884d64d9ea74a10f1SHA-1: 562b7eae0b178ba3ea502b10a5137af5049469e6SHA-256: fe7c1337ecc319a62d325c720c24bd953f2ac51c72ba456aff16894b958f24b5
Файлы: %TEMP%ccsetup620.exe %TEMP%ChemExamples.exe %TEMP%7ZipSfx.000Bailey %TEMP%7ZipSfx.000Biz %TEMP%7ZipSfx.000Closest %TEMP%7ZipSfx.000Debug %TEMP%7ZipSfx.000Monitored %TEMP%7ZipSfx.000Reasoning %TEMP%7ZipSfx.000Yourself %TEMP%7ZipSfx.000Infectious.pif (например: %TEMP%7ZipSfx.0001181Infectious.pif) %TEMP%7ZipSfx.000g (например: %TEMP%7ZipSfx.0001181g) %APPDATA%MicrosoftWindowsStart MenuProgramsStartupChemExamples.lnk %APPDATA%MicrosoftWindowsStart MenuProgramsStartupCheetahGuard.url %LOCALAPPDATA%GuardTech SolutionsCheetahGuard.pif (копия Infectious.pif) %LOCALAPPDATA%GuardTech Solutionsh (копия g) %LOCALAPPDATA%GuardTech SolutionsCheetahGuard.js
Процессы: cmd.exe /k cmd < Yourself & exit findstr.exe /I "avastui.exe avgui.exe nswscsvc.exe sophoshealth.exe" findstr.exe /I "wrsa.exe" cmd.exe /c mkdir (например: cmd.exe /c mkdir 1181) cmd.exe /c copy /b Reasoning + Bailey + Biz + Debug + Monitored Infectious.pif cmd.exe /c copy /b Closest g Infectious.pif g (например: 1181Infectious.pif 1181g) ping.exe -n 5 localhost cmd.exe /k echo [InternetShortcut] > «%APPDATA%MicrosoftWindowsStart MenuProgramsStartupCheetahGuard.url» & echo URL=»%LOCALAPPDATA%GuardTech SolutionsCheetahGuard.js» >> «%APPDATA%MicrosoftWindowsStart MenuProgramsStartupCheetahGuard.url» & exit %WINDOWS%SysWOW64ipconfig.exe (родительский процесс explorer.exe) %LOCALAPPDATA%GuardTech SolutionsCheetahGuard.pif %LOCALAPPDATA%GuardTech Solutionsh
URLs:hxxps://mail.ru-storage[.]com/ccleaner_downloadshxxps://store14.gofile[.]io/download/direct/182fba2c-52a1-45c7-9cea-ecbf1c73f1d0/ccleaner_downloads.exe
Домен: mail.ru-storage[.]com
IP-адрес:194.61.121[.]167:1145
Источник: habr.com