Кибершпионы Sticky Werewolf атакуют польские организации

Проукраинская группа Sticky Werewolf, специализирующаяся на кибершпионаже, похоже, отправилась на гастроли: после недавней атаки на компании в Беларуси, злоумышленники нацелились и на организации Польши. В новой атаке Sticky Werewolf, как установили эксперты департамента Threat Intelligence компании F.A.C.C.T., использовался модифицированный вариант трояна удаленного доступа Darktrack RAT.

Начальный вектор атаки

12 февраля этого года в 15:28:33 UTC по веб-интерфейсу из Польши (г. Тшебница) на VirusTotal была загружена ссылка (URL):

hxxps://share-files[.]pl/Wezwanie_swiadka.pdf

Кстати, домен share-files[.]pl имеет польский домен первого уровня — «.pl».

Известно, что злоумышленники из группировки Sticky Werewolf в качестве первоначального вектора проникновения используют фишинговые письма, содержащие ссылку на загрузку вредоносного исполняемого файла. В рамках анализа данной атаки экспертам Threat Intelligence была доступна только ссылка hxxps://share-files[.]pl/Wezwanie_swiadka.pdf, которая должна содержаться в теле такого фишингового письма.

При переходе по ссылке hxxps://share-files[.]pl/Wezwanie_swiadka.pdf происходит переадресация на другой ресурс hxxps://store10[.]gofile[.]io/download/direct/a54ae153-8cea-479f-b9fe-1994a349216c/Wezwanie_swiadka.pdf.exe и загружается исполняемый файл Wezwanie_swiadka.pdf.exe.

Окно загрузки вредоносного файла

Пользователь должен запустить загруженный исполняемый файл, чтобы произошла компрометация.

SFX-архив и полезная нагрузка

Файл Wezwanie_swiadka.pdf.exe представляет собой самораспаковывающийся архив (SFX), подготовленный в NSIS Installer. Wezwanie_swiadka.pdf.exe содержит файл-приманку Wezwanie_swiadka.pdf и исполняемый файл MicroWord.exe.

Содержимое файла-приманки Wezwanie_swiadka.pdf

Стоит отметить, что злоумышленники могли скачать файл-приманку для использования в атаке по ссылке hxxps://edu[.]cba[.]gov[.]pl/DU_CBA/2008/2/22/Zalacznik46.pdf (файл-приманка совпал по хеш-сумме).

На скриншоте ниже представлен фрагмент NSIS-скрипта SFX-архива Wezwanie_swiadka.pdf.exe.

Фрагмент NSIS-скрипта SFX-архива

После запуска пользователем указанного SFX-архива происходит:

создание и запуск файла %TEMP%MicroWord.exe;

создание и открытие файла-приманки %TEMP%Wezwanie_swiadka.pdf;

создание ярлыка %APPDATA%MicrosoftWindowsStart MenuProgramsStartupFlashUpdate.lnk, который будет запускать файл %TEMP%FlashUpdate.exe после перезапуска системы.

Стоит отметить, что злоумышленники могли допустить ошибку в NSIS-скрипте, т.к. файл-ярлык FlashUpdate.lnk ссылается на несуществующий файл FlashUpdate.exe.

MicroWord.exe

Полезная нагрузка – файл MicroWord.exe, защищенный протектором Themida и представляющий модифицированный вариант Darktrack RAT — трояна удаленного доступа (RAT), разработанного на Delphi.

Данная вредоносная программа взаимодействует с управляющим сервером 46[.]246[.]97[.]61:7412, создает мьютекс с уникальным именем E4B6tMOXArC4kQ36, а также создает лог-файл klog.dat для записи перехваченной информации, введенной пользователем с клавиатуры.

Напомним, что Sticky Werewolf — это кибершпионская группа, атакующая госучреждения и финансовые компании в России и Белоруссии. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация RedLine Stealer).

В декабре 2023 года Sticky Werewolf дважды атаковали через почтовые рассылки российскую фарму, прикрываясь Министерством по чрезвычайным ситуациям и Минстроем, а в январе 2024 года атаковала российские организация фейковыми письмами, якобы от имени ФСБ.

Индикаторы компрометации Wezwanie_swiadka.pdf.exe MD5: d7ff05311350b4990ccd642a44679d1d SHA-1: 4aabffec8b6be99324f8d589e73ed0f433054118 SHA-256: 9f942f1efb3644e13aca6188c7da9270d02f956155fba3cba21b6d81dfd995a7

MicroWord.exeMD5: 542678c60cf6de9e6ca876e102b233e6SHA-1: 3bf367ed7b05042eb268c87240690b4cdacabbe0SHA-256: 9a03cfe1174b0921a10ffd389c6c152b0c0a2c9dd53195d55a9fd1f75d81b702

Файлы:%TEMP%MicroWord.exe%TEMP%Wezwanie_swiadka.pdf%TEMP%klog.dat%APPDATA%MicrosoftWindowsStart MenuProgramsStartupFlashUpdate.lnk

Мьютекс:E4B6tMOXArC4kQ36

URLs:hxxps://share-files[.]pl/Wezwanie_swiadka.pdfhxxps://store10.gofile[.]io/download/direct/a54ae153-8cea-479f-b9fe1994a349216c/Wezwanie_swiadka.pdf.exe

Домен: share-files[.]pl

IP-адрес:46.246.97[.]61:7412

Источник: habr.com

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии