В апреле 2024 года исследователи из The DFIR Report опубликовали отчет, описывающий цепочку атаки вируса-вымогателя Nokoyawa в феврале 2023 года. В ходе анализа информации из этого отчета специалисты F.A.C.C.T. обратили внимание на интересные детали.
До запуска шифровальщика атакующие использовал сервер Cobalt Strike, который был развернут на домене msc-mvc-updates[.]com с IP адресом 91[.]215[.]85[.]183.
Рис. 1 Снимок экрана – данные из отчета «The DFIR Report»
Специалисты F.A.C.C.T. отметили, что данный сервер уже фигурировал в других отчетах и атаках. С помощью хантинг правил на инфраструктуру злоумышленников, 11.04.2023 данный сервер был атрибутирован системой F.A.C.C.T. Threat Intelligence к FIN7, поскольку на нем были обнаружены уникальные признаки, выявляемые на серверах FIN7 ранее.
Рис. 2 Скриншот графа сетевой инфраструктуры F.A.C.C.T. Threat Intelligence
FIN7 — это финансово-мотивированная преступная группа, действующая с 2015 года. По данным исследователей, злоумышленники из FIN7 связаны с использованием программ-шифровальщиков Revil (Sodinokibi), также считается, что из FIN7 нее отделились такие группировки как DarkSide и BlackMatter, запомнившееся своими дерзкими атаками в 2021 году, а эксперты Symantec заявляли, что FIN7 стоит во главе RaaS ALPHV (BlackCat).
По данным исследователей из Symantec, сервер 91[.]215[.]85[.]183 фигурировал в атаке шифровальщика Buhti в феврале 2023.
Buhti – группировка, впервые замеченная в феврале 2023 года, активно эксплуатирующая уязвимости CVE-2023-27350, CVE-2022-47986 и использующая для шифрования данных утекший ранее инструментарий Babuk и LockBit 3.0 (Black), однако для кражи и эксфильтрации данных Buhti использовали собственный инструмент, написанный на Golang.
В статье The DFIR Report атака с использованием данного Cobalt Strike сервера привела к заражению Nokoyawa Ransomware – это появившийся в феврале 2022 года вирус шифровальщик, владельцем партнерской программы которого предположительно является пользователь даркнет-форумов под ником farnetwork.
Приводим конфигурационные файлы Cobalt Strike, обнаруженные системой F.A.C.C.T. Threat Intelligence на исследуемом сервере 91[.]215[.]85[.]183:
Конфиг Cobalt Strike, найденный 17.01.2023
«config_payload»: «http-get.uri»: «91.215.85.183,/jquery-3.3.1.min.js», «stage.cleanup»: 1, «http-get.server.output»: «AAAABAAAAAEAAAXyAAAAAgAAAFQAAAACAAAPWwAAAA0AAAAPAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==», «post-ex.spawnto_x64»: «%windir%sysnativedllhost.exe», «post-ex.spawnto_x86»: «%windir%syswow64dllhost.exe», «watermark»: 206546002, «sleeptime»: 13000, «publickey»: «MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCN5UAJbAA83lOuZlkNoqHDAdV1F7OJnqUiF3kD6mwuXzJzVpu9+f4l/QIUotuiQA+vvxdM3q/XGu77WogAe90LRUknEdoD6YnU32G/ts9dbSwG6HySt7cLn5B3FsomLWjBbssH9e31TihCUvZbK6PRzmLW4SBgZigBWLXZgu7+SwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==», «http-post.client»: «GAccept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Referer: http://code.jquery.com/Accept-Encoding: gzip, deflate__cfduid», «ssl»: true, «publickey_md5»: «30b36f36546ab96c82b296ad6761d624», «http-post.uri»: «/jquery-3.3.2.min.js», «jitter»: 44, «cookieBeacon»: 1, «text_section»: 1, «port»: 443, «http-get.client»: «GAccept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Referer: http://code.jquery.com/Accept-Encoding: gzip, deflate__cfduid=Cookie», «http-get.verb»: «GET», «proxy_type»: 2, «user-agent»: «Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko»
Конфиг Cobalt Strike, найденный 02.05.2023
«config_payload»: «http-get.uri»: «91.215.85.183,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books», «http-get.server.output»: 1048576, «post-ex.spawnto_x64»: «%windir%sysnativerundll32.exe», «post-ex.spawnto_x86»: «%windir%syswow64rundll32.exe», «watermark»: 674054486, «sleeptime»: 5000, «publickey»: «MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCdklm7jdfoNZRLRiINPrUukMihsTC+79MqgtIWWXfNaxDV8V9aEjmB3sBoMcIdpwXhfrUwa+LLXaeEProFrQu3JMEVvb+VSj5Ewth5SuCID5ziqi75FbriQv6BWMwAb58sv6xRpOc9A59xxMb6B5ABNWbemTBoDEb/BhcHFOQIlwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==», «http-post.client»: «Accept: */*Content-Type: text/xml X-Requested-With: XMLHttpRequestHost: www.amazon.comsz=160x600oe=oe=ISO-8859-1;sns=3717″dc_ref=http%3A%2F%2Fwww.amazon.com», «ssl»: true, «publickey_md5»: «cf002d9ee0e90e71cde6cd6b7fc7e0fa», «http-post.uri»: «/N4215/adj/amzn.us.sr.aps», «cookieBeacon»: 1, «port»: 8443, «http-get.client»: «Accept: */*Host: www.amazon.comsession-token=skin=noskin;,csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996Cookie», «http-get.verb»: «GET», «proxy_type»: 2, «user-agent»: «Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko» Часть 2. По следам farnetwork
Киберпреступная карьера farnetwork (у него было ранее множество никнеймов, среди которых и farnetworkl), согласно отчету специалистов Group-IB, началась как минимум в 2019 году. Он занимался рядом вредоносных программ, таких как RazvRAT, а также вредоносными программами-шифровальщиками Nemty, Nefilim, Karma. Последним известным детищем злоумышленника была партнерская программа (Ransomware as a Service — RaaS) Nokoyawa, партнеров для которой он искал на андеграундных форумах. Пример сообщения от марта 2023 ниже.
Пример сообщения от марта 2023 ниже.
Рис. 3. Снимок экрана – сообщение пользователя farnetwork, доступное в F.A.C.C.T. Threat Intelligence
Всего через 4 месяца после публикации данного сообщения на форуме RAMP, пользователь farnetwork заявил что уходит в инактив, но уже на форуме exploit. Однако, довольно сложно поверить, что farnetwork решил все бросить и перестать заниматься криминальным бизнесом, связанным с вымогателями.
Рис. 4. Снимок экрана – сообщение пользователя farnetwork, доступное в F.A.C.C.T. Threat Intelligence
Анализируя сообщения злоумышленников на андеграундных форумах, специалисты F.A.C.C.T. заметили сходства между стилем и тематикой сообщений пользователей с никнеймами farnetwork, rinc, salfetka. Все они так или иначе оказались связаны с программами-вымогателями и поиском доступов в корпоративные сети — подробности в новом блоге.
Рис. 5 Схема связей аккаунтов farnetwork, rinc и salfetka с программами-вымогателямиКлючевые выводы исследования:
пользователи с никнеймами farnetwork, rinc, salfetka – это одно и то же лицо;
злоумышленник периодически меняет свои аккаунты и контакты на андеграундных форумах;
farnetwork ранее был связан с несколькими шифровальщиками, из последних значимых связей – партнерская программа Nokoyawa;
псевдоним rinc является анаграммой от Ransom и INC, отсылка к INC Ransom;
пользователь под псевдонимом salfetka продавал исходные коды INC Ransom;
исследуемый персонаж (farnetwork, rinc, salfetka) уже много лет находится в криминальном бизнесе, связанном с программами-шифровальщиками;
обнаружены также другие псевдонимым злоумышленника — Badbone, Blindman, rd2x45dm;
анализ сетевой инфраструктуры говорит о том, что с участием этого злоумышленника могли совершаться и другие атаки шифровальщиков.
Как оказалось, аккаунтов, под которыми скрывался farnetwork, оказалось еще больше, чем в начале исследования.
Рис. 6. Дерево связей аккаунтов злоумышленника
Подробнее о том, как аналитики F.A.C.C.T. пришли к подобным выводам, читайте в нашем блоге.
Источник: habr.com