Обнаружены атаки группы XDSpy с использованием нового загрузчика XDSpy.DSDownloader

Специалисты F.A.C.C.T. Threat Intelligence зафиксировали в июле 2024 новые атаки кибершпионской группировки XDSpy, направленные на российские компании. Так, например, XDSpy рассылает фишинговые электронные письма, содержащие ссылку на загрузку RAR-архива, в котором находятся легитимный исполняемый файл с расширением .exe и вредоносная динамически подключаемая библиотеку msi.dll. Для запуска данной библиотеки злоумышленники используют технику DLL Side-Loading. Вредоносная динамически подключаемая библиотека представляет собой загрузчик, отвечающий за загрузку и запуск файла полезной нагрузки, классифицируемый нами как XDSpy.DSDownloader. На момент исследования файл полезной нагрузки был недоступен.

Цели атаки

В рамках данной вредоносной кампании XDSpy была атакована российская ИТ-компания, являющаяся разработчиком ПО для контрольно-кассовых машин. Еще одной вероятной целью атаки могла быть некоторая организация из Молдовы (г. Тирасполь, Приднестровье), т.к. один из обнаруженных нами RAR-архивов был загружен на VirusTotal из данной локации.

Технические деталиФишинговое письмо

Злоумышленники использовали спуфинг реального адреса отправителя фишингового письма. Пример письма:

Тема письма: «Доступ к документам»

Отправитель: Елена Проваторова — Автоклуб «А24» (реальный отправитель 65[.]69[.]114[.]89[.]rev[.]vodafone[.]pt ([89[.]114[.]69[.]65])

Ссылка в теле письма:

26 июля было отправлено второе письмо в эту же организацию.Тема: «Договоренности, по поручению начальника»Отправитель: Ева Полетаева — ООО «Компания АГБИС» (реальный отправитель 48[.]69[.]114[.]89[.]rev[.]vodafone[.]pt ([89[.]114[.]69[.]48])Пример фишингового письма:

Ссылка в теле письма:

На основании предыдущих атак группировки XDSpy, в рамках данной вредоносной кампании, мы предполагаем, что по ссылке в письме должен загружаться RAR-архив с вредоносной программой XDSpy.DSDownloader. К сожалению, на момент исследования RAR-архив по указанной выше ссылке в письме был недоступен.

RAR-архив

RAR-архив содержит 2 исполняемых файла формата PE32+:

pdf_20240615_00003645.exe (pismo-22-07-2024_0001.exe) — легитимный исполняемый файл (SHA256: b77a9c7250397242df5956213a17ec0149ba836d64640e7b2a0068a2e6b2cf9e), являющийся приложением IntegratedOffice.exe версии 16.0.17328.20124 с действительной цифровой подписью.

msi.dll — вредоносная динамически подключаемая библиотека, загружающаяся при запуске легитимного исполняемого файла, указанного выше.

Пример содержимого RAR-архива:

XDSpy.DSDownloader

Динамически подключаемая библиотека msi.dll является вредоносной программой класса загрузчик (downloader) семейства XDSpy.DSDownloader.

Название XDSpy.DSDownloader было сформировано на основе класса вредоносной программы и PDB-путей, D — drop (dropper), S — side (sideloading) и класс downloader.

Основные функциональные возможности XDSpy.DSDownloader:

Извлечение из ресурса RCDATA документа-приманки и сохранение его в пользовательском каталоге (%USERPROFILE%), затем открытие документа-приманки для отвлечения внимания жертвы.

Копирование msi.dll и легитимного EXE-файла в каталог «C:UsersPublic».

Создание в ключе реестра [HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] параметра «{legit_exe_filename}» со значением «C:UsersPublic{legit_exe_filename}» для закрепления в автозагрузке системы вредоносной программы XDSpy.DSDownloader.Пример: [HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] pdf_20240615_00003645.exe = «C:UsersPublicpdf_20240615_00003645.exe».

Загрузка файла полезной нагрузки с сервера злоумышленников по определенной ссылке, используя User-Agent = «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123[.]0[.]0[.]0 Safari/537.36», и сохранение загруженной полезной нагрузки с именем «C:UsersPublic[a-z]{8}.exe» (пример: «C:UsersPubliczwrdntjl.exe»).

Запуск загруженного файла полезной нагрузки «C:UsersPublic[a-z]{8}.exe». На момент исследования файл полезной нагрузки был недоступен.

Важные строки, содержащиеся в открытом виде в теле вредоносной программы XDSpy.DSDownloader:

название документа-приманки;

название исполняемого легитимного файла;

название вредоносной DLL;

название файла полезной нагрузки;

название ключа реестра;

путь к каталогу «C:UsersPublic»;

ссылка для загрузки полезной нагрузки;

строка заголовка User-Agent.

Также стоит отметить, что имена вызываемых WinAPI-функций захешированы несложным алгоритмом, который представлен на скриншоте ниже.

Пример вызова функции, отвечающей за получение адреса необходимой WinAPI-функции:

Обнаруженные образцы XDSpy.DSDownloader представлены в таблицах ниже:

Примеры обнаруженных документов-приманок:

pdf_20240615_00003645.pdf (SHA-256: dec3d97d49d82a1735ca57a8c61699c3eebec31b43c8d99748dc72aee24f2c30)

pismo-22-07-2024_0001.pdf (SHA-256: 6c740544f446553f90daf7cb16885a59fdf15c848b3efbf59b5fa0afd65be90d)

Индикаторы компрометации

Хеши файлов: pdf_20240615_00003645.rarMD5: 1c34280a2228793aad681089179ec0b3SHA-1: a84d557cc726f521354a308436b0620fbe1a051fSHA-256: 45bbe6950cabe649513edbe819440935d6be5a6ef715c01f7a95862225262da0 pismo-22-07-2024_0001.rarMD5: 94aab070678e6d84f0287cfedc037300SHA-1: 7741436dcaf11e16e330cc52a133b6ef59a12812SHA-256: 03ea832f0b7531026f1d87dc84ec03f65fe11f3e9de032e5e862b70d8cf0d2d8 msi.dllMD5: 2982ac131e49354ec51e645f9db53b40SHA-1: 00bde6ad42ef3cbef9f0f0cc054014435432b17cSHA-256: 65a953a80a0accd3b9a5b0f5c6978dad223273bd4d5ec892737e569c864fc73cmsi.dllMD5: 0fd1128bc81eca818909d50f9806fd85SHA-1: 02760b55fa69392d99633c271e43108c64c21807SHA-256: 01d092290e410617eb3369bf3682af186ae8da0937ee90acadba75ee5d4e17e4msi.dllMD5: 3bd819440fbc91a530c3c659d99564e3SHA-1: 68d83a5d25d62f0b15912fb70474dd371db1947dSHA-256: 78ba21a60241da65cf65e951773bbfd606402a3bf43acc5201e95220d13e8817

Домены:

protej[.]org

nashtab[.]org

obshchiye-resursy[.]com

sbordokumentov[.]com

IP-адреса:

89.114.69[.]65

89.114.69[.]48

82.221.129[.]24

185.56.136[.]50

159.100.6[.]5

URL:

hxxps://protej[.]org/zpwidnydav/?e&n=bVq7NwlXhjYOMT

hxxps://protej[.]org/zpwidnydav/?e&n=bVq7NwlXhjYOMT

hxxps://protej[.]org/zpwidnydav/?n=wHFbIDNW9YutX

hxxps://nashtab[.]org/biyasqbuk4/?e&n=GuVZoipdI2UIxk

hxxps://nashtab[.]org/pqwebyug3/?n=PDVXCGFwWnCaNv

hxxps://obshchiye-resursy[.]com/zpwidnydav/?e&n=V1Z82iODc5twdu

hxxps://obshchiye-resursy[.]com/zpwidnydav/?n=Jo9EDoZiYATO77

hxxps://sbordokumentov[.]com/snirboubd/?n=vAR1Xp9BG2nStq

hxxps://sbordokumentov[.]com/snirboubd/?n=ygTQMPQdzlcZ9E

Дополнительные индикаторы компрометации

Пути к файлам:

C:UsersPublicpdf_20240615_00003645.exe

C:UsersPublicpismo-22-07-2024_0001.exe

C:UsersPublicmsi.dll

%USERPROFILE%pdf_20240615_00003645.pdf

%USERPROFILE%pismo-22-07-2024_0001.pdf

CUsersPubliczwrdntjl.exe

C:UsersPublicspbbpzmq.exe

C:UsersPublicyvpxqixd.exe

Реестр:

[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] pdf_20240615_00003645.exe = «C:UsersPublicpdf_20240615_00003645.exe»

[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] pismo-22-07-2024_0001.exe = «C:UsersPublicpismo-22-07-2024_0001.exe»

Источник: habr.com

0 0 голоса
Рейтинг новости
12748
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии