Специалисты F.A.C.C.T. Threat Intelligence зафиксировали в июле 2024 новые атаки кибершпионской группировки XDSpy, направленные на российские компании. Так, например, XDSpy рассылает фишинговые электронные письма, содержащие ссылку на загрузку RAR-архива, в котором находятся легитимный исполняемый файл с расширением .exe и вредоносная динамически подключаемая библиотеку msi.dll. Для запуска данной библиотеки злоумышленники используют технику DLL Side-Loading. Вредоносная динамически подключаемая библиотека представляет собой загрузчик, отвечающий за загрузку и запуск файла полезной нагрузки, классифицируемый нами как XDSpy.DSDownloader. На момент исследования файл полезной нагрузки был недоступен.
Цели атаки
В рамках данной вредоносной кампании XDSpy была атакована российская ИТ-компания, являющаяся разработчиком ПО для контрольно-кассовых машин. Еще одной вероятной целью атаки могла быть некоторая организация из Молдовы (г. Тирасполь, Приднестровье), т.к. один из обнаруженных нами RAR-архивов был загружен на VirusTotal из данной локации.
Технические деталиФишинговое письмо
Злоумышленники использовали спуфинг реального адреса отправителя фишингового письма. Пример письма:
Тема письма: «Доступ к документам»
Отправитель: Елена Проваторова — Автоклуб «А24» (реальный отправитель 65[.]69[.]114[.]89[.]rev[.]vodafone[.]pt ([89[.]114[.]69[.]65])
Ссылка в теле письма:
26 июля было отправлено второе письмо в эту же организацию.Тема: «Договоренности, по поручению начальника»Отправитель: Ева Полетаева — ООО «Компания АГБИС» (реальный отправитель 48[.]69[.]114[.]89[.]rev[.]vodafone[.]pt ([89[.]114[.]69[.]48])Пример фишингового письма:
Ссылка в теле письма:
На основании предыдущих атак группировки XDSpy, в рамках данной вредоносной кампании, мы предполагаем, что по ссылке в письме должен загружаться RAR-архив с вредоносной программой XDSpy.DSDownloader. К сожалению, на момент исследования RAR-архив по указанной выше ссылке в письме был недоступен.
RAR-архив
RAR-архив содержит 2 исполняемых файла формата PE32+:
pdf_20240615_00003645.exe (pismo-22-07-2024_0001.exe) — легитимный исполняемый файл (SHA256: b77a9c7250397242df5956213a17ec0149ba836d64640e7b2a0068a2e6b2cf9e), являющийся приложением IntegratedOffice.exe версии 16.0.17328.20124 с действительной цифровой подписью.
msi.dll — вредоносная динамически подключаемая библиотека, загружающаяся при запуске легитимного исполняемого файла, указанного выше.
Пример содержимого RAR-архива:
XDSpy.DSDownloader
Динамически подключаемая библиотека msi.dll является вредоносной программой класса загрузчик (downloader) семейства XDSpy.DSDownloader.
Название XDSpy.DSDownloader было сформировано на основе класса вредоносной программы и PDB-путей, D — drop (dropper), S — side (sideloading) и класс downloader.
Основные функциональные возможности XDSpy.DSDownloader:
Извлечение из ресурса RCDATA документа-приманки и сохранение его в пользовательском каталоге (%USERPROFILE%), затем открытие документа-приманки для отвлечения внимания жертвы.
Копирование msi.dll и легитимного EXE-файла в каталог «C:UsersPublic».
Создание в ключе реестра [HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] параметра «{legit_exe_filename}» со значением «C:UsersPublic{legit_exe_filename}» для закрепления в автозагрузке системы вредоносной программы XDSpy.DSDownloader.Пример: [HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] pdf_20240615_00003645.exe = «C:UsersPublicpdf_20240615_00003645.exe».
Загрузка файла полезной нагрузки с сервера злоумышленников по определенной ссылке, используя User-Agent = «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123[.]0[.]0[.]0 Safari/537.36», и сохранение загруженной полезной нагрузки с именем «C:UsersPublic[a-z]{8}.exe» (пример: «C:UsersPubliczwrdntjl.exe»).
Запуск загруженного файла полезной нагрузки «C:UsersPublic[a-z]{8}.exe». На момент исследования файл полезной нагрузки был недоступен.
Важные строки, содержащиеся в открытом виде в теле вредоносной программы XDSpy.DSDownloader:
название документа-приманки;
название исполняемого легитимного файла;
название вредоносной DLL;
название файла полезной нагрузки;
название ключа реестра;
путь к каталогу «C:UsersPublic»;
ссылка для загрузки полезной нагрузки;
строка заголовка User-Agent.
Также стоит отметить, что имена вызываемых WinAPI-функций захешированы несложным алгоритмом, который представлен на скриншоте ниже.
Пример вызова функции, отвечающей за получение адреса необходимой WinAPI-функции:
Обнаруженные образцы XDSpy.DSDownloader представлены в таблицах ниже:
Примеры обнаруженных документов-приманок:
pdf_20240615_00003645.pdf (SHA-256: dec3d97d49d82a1735ca57a8c61699c3eebec31b43c8d99748dc72aee24f2c30)
pismo-22-07-2024_0001.pdf (SHA-256: 6c740544f446553f90daf7cb16885a59fdf15c848b3efbf59b5fa0afd65be90d)
Индикаторы компрометации
Хеши файлов: pdf_20240615_00003645.rarMD5: 1c34280a2228793aad681089179ec0b3SHA-1: a84d557cc726f521354a308436b0620fbe1a051fSHA-256: 45bbe6950cabe649513edbe819440935d6be5a6ef715c01f7a95862225262da0 pismo-22-07-2024_0001.rarMD5: 94aab070678e6d84f0287cfedc037300SHA-1: 7741436dcaf11e16e330cc52a133b6ef59a12812SHA-256: 03ea832f0b7531026f1d87dc84ec03f65fe11f3e9de032e5e862b70d8cf0d2d8 msi.dllMD5: 2982ac131e49354ec51e645f9db53b40SHA-1: 00bde6ad42ef3cbef9f0f0cc054014435432b17cSHA-256: 65a953a80a0accd3b9a5b0f5c6978dad223273bd4d5ec892737e569c864fc73cmsi.dllMD5: 0fd1128bc81eca818909d50f9806fd85SHA-1: 02760b55fa69392d99633c271e43108c64c21807SHA-256: 01d092290e410617eb3369bf3682af186ae8da0937ee90acadba75ee5d4e17e4msi.dllMD5: 3bd819440fbc91a530c3c659d99564e3SHA-1: 68d83a5d25d62f0b15912fb70474dd371db1947dSHA-256: 78ba21a60241da65cf65e951773bbfd606402a3bf43acc5201e95220d13e8817
Домены:
protej[.]org
nashtab[.]org
obshchiye-resursy[.]com
sbordokumentov[.]com
IP-адреса:
89.114.69[.]65
89.114.69[.]48
82.221.129[.]24
185.56.136[.]50
159.100.6[.]5
URL:
hxxps://protej[.]org/zpwidnydav/?e&n=bVq7NwlXhjYOMT
hxxps://protej[.]org/zpwidnydav/?e&n=bVq7NwlXhjYOMT
hxxps://protej[.]org/zpwidnydav/?n=wHFbIDNW9YutX
hxxps://nashtab[.]org/biyasqbuk4/?e&n=GuVZoipdI2UIxk
hxxps://nashtab[.]org/pqwebyug3/?n=PDVXCGFwWnCaNv
hxxps://obshchiye-resursy[.]com/zpwidnydav/?e&n=V1Z82iODc5twdu
hxxps://obshchiye-resursy[.]com/zpwidnydav/?n=Jo9EDoZiYATO77
hxxps://sbordokumentov[.]com/snirboubd/?n=vAR1Xp9BG2nStq
hxxps://sbordokumentov[.]com/snirboubd/?n=ygTQMPQdzlcZ9E
Дополнительные индикаторы компрометации
Пути к файлам:
C:UsersPublicpdf_20240615_00003645.exe
C:UsersPublicpismo-22-07-2024_0001.exe
C:UsersPublicmsi.dll
%USERPROFILE%pdf_20240615_00003645.pdf
%USERPROFILE%pismo-22-07-2024_0001.pdf
CUsersPubliczwrdntjl.exe
C:UsersPublicspbbpzmq.exe
C:UsersPublicyvpxqixd.exe
Реестр:
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] pdf_20240615_00003645.exe = «C:UsersPublicpdf_20240615_00003645.exe»
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun] pismo-22-07-2024_0001.exe = «C:UsersPublicpismo-22-07-2024_0001.exe»
Источник: habr.com