Проукраинская группа Sticky Werewolf, специализирующаяся на кибершпионаже, похоже, отправилась на гастроли: после недавней атаки на компании в Беларуси, злоумышленники нацелились и на организации Польши. В новой атаке Sticky Werewolf, как установили эксперты департамента Threat Intelligence компании F.A.C.C.T., использовался модифицированный вариант трояна удаленного доступа Darktrack RAT.
Начальный вектор атаки
12 февраля этого года в 15:28:33 UTC по веб-интерфейсу из Польши (г. Тшебница) на VirusTotal была загружена ссылка (URL):
hxxps://share-files[.]pl/Wezwanie_swiadka.pdf
Кстати, домен share-files[.]pl имеет польский домен первого уровня — «.pl».
Известно, что злоумышленники из группировки Sticky Werewolf в качестве первоначального вектора проникновения используют фишинговые письма, содержащие ссылку на загрузку вредоносного исполняемого файла. В рамках анализа данной атаки экспертам Threat Intelligence была доступна только ссылка hxxps://share-files[.]pl/Wezwanie_swiadka.pdf, которая должна содержаться в теле такого фишингового письма.
При переходе по ссылке hxxps://share-files[.]pl/Wezwanie_swiadka.pdf происходит переадресация на другой ресурс hxxps://store10[.]gofile[.]io/download/direct/a54ae153-8cea-479f-b9fe-1994a349216c/Wezwanie_swiadka.pdf.exe и загружается исполняемый файл Wezwanie_swiadka.pdf.exe.
Окно загрузки вредоносного файла
Пользователь должен запустить загруженный исполняемый файл, чтобы произошла компрометация.
SFX-архив и полезная нагрузка
Файл Wezwanie_swiadka.pdf.exe представляет собой самораспаковывающийся архив (SFX), подготовленный в NSIS Installer. Wezwanie_swiadka.pdf.exe содержит файл-приманку Wezwanie_swiadka.pdf и исполняемый файл MicroWord.exe.
Содержимое файла-приманки Wezwanie_swiadka.pdf
Стоит отметить, что злоумышленники могли скачать файл-приманку для использования в атаке по ссылке hxxps://edu[.]cba[.]gov[.]pl/DU_CBA/2008/2/22/Zalacznik46.pdf (файл-приманка совпал по хеш-сумме).
На скриншоте ниже представлен фрагмент NSIS-скрипта SFX-архива Wezwanie_swiadka.pdf.exe.
Фрагмент NSIS-скрипта SFX-архива
После запуска пользователем указанного SFX-архива происходит:
создание и запуск файла %TEMP%MicroWord.exe;
создание и открытие файла-приманки %TEMP%Wezwanie_swiadka.pdf;
создание ярлыка %APPDATA%MicrosoftWindowsStart MenuProgramsStartupFlashUpdate.lnk, который будет запускать файл %TEMP%FlashUpdate.exe после перезапуска системы.
Стоит отметить, что злоумышленники могли допустить ошибку в NSIS-скрипте, т.к. файл-ярлык FlashUpdate.lnk ссылается на несуществующий файл FlashUpdate.exe.
MicroWord.exe
Полезная нагрузка – файл MicroWord.exe, защищенный протектором Themida и представляющий модифицированный вариант Darktrack RAT — трояна удаленного доступа (RAT), разработанного на Delphi.
Данная вредоносная программа взаимодействует с управляющим сервером 46[.]246[.]97[.]61:7412, создает мьютекс с уникальным именем E4B6tMOXArC4kQ36, а также создает лог-файл klog.dat для записи перехваченной информации, введенной пользователем с клавиатуры.
Напомним, что Sticky Werewolf — это кибершпионская группа, атакующая госучреждения и финансовые компании в России и Белоруссии. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация RedLine Stealer).
В декабре 2023 года Sticky Werewolf дважды атаковали через почтовые рассылки российскую фарму, прикрываясь Министерством по чрезвычайным ситуациям и Минстроем, а в январе 2024 года атаковала российские организация фейковыми письмами, якобы от имени ФСБ.
Индикаторы компрометации Wezwanie_swiadka.pdf.exe MD5: d7ff05311350b4990ccd642a44679d1d SHA-1: 4aabffec8b6be99324f8d589e73ed0f433054118 SHA-256: 9f942f1efb3644e13aca6188c7da9270d02f956155fba3cba21b6d81dfd995a7
MicroWord.exeMD5: 542678c60cf6de9e6ca876e102b233e6SHA-1: 3bf367ed7b05042eb268c87240690b4cdacabbe0SHA-256: 9a03cfe1174b0921a10ffd389c6c152b0c0a2c9dd53195d55a9fd1f75d81b702
Файлы:%TEMP%MicroWord.exe%TEMP%Wezwanie_swiadka.pdf%TEMP%klog.dat%APPDATA%MicrosoftWindowsStart MenuProgramsStartupFlashUpdate.lnk
Мьютекс:E4B6tMOXArC4kQ36
URLs:hxxps://share-files[.]pl/Wezwanie_swiadka.pdfhxxps://store10.gofile[.]io/download/direct/a54ae153-8cea-479f-b9fe1994a349216c/Wezwanie_swiadka.pdf.exe
Домен: share-files[.]pl
IP-адрес:46.246.97[.]61:7412
Источник: habr.com