Аналитики департамента киберразведки F.A.C.C.T. Threat Intelligence исследовали рассылки злоумышленника, получившего название FakeTicketer. Он действует как минимум с июня 2024 года, основной мотивацией, предположительно, является шпионаж, а вероятными целыми — чиновники и спортивные функционеры. Под видом билетов на матчи футбольной премьер-лиги России и соревнований по гребле атакующий рассылал уникальное вредоносное ПО — стилер, троян удалённого доступа (RAT) и дроппер с возможностью кражи данных из браузеров. Эти вариации вредоносного ПО получили название Zagrebator, указывающее на уникальный артефакт, обнаруженный специалистами компании в ходе исследования.
В первой обнаруженной специалистами F.A.C.C.T. атаке в качестве документа-приманки использовались билеты на матчи футбольной премьер-лиги России, позже – на соревнования по водной гребле на байдарках и каноэ. Эта тактика и подарила злоумышленнику кодовое имя.
Рисунок 1. Примеры файла-декоя.Рисунок 2. Примеры файла-декоя.
Впоследствии данные, полученные при анализе ВПО от FakeTicketer, позволили специалистам F.A.C.C.T. обнаружить ещё две атаки с использованием этих вредоносных программ. К этому времени злоумышленник сменил маскировку, начал использовать в качестве приманок официальные документы: в октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города Симферополя Республики Крым.
Рисунок 3. Пример содержимого одного из таких архивов.Рисунок 4. Пример файла-приманки.Рисунок 5. Пример файла-приманки.
Предположительно, злоумышленник рассылал электронные письма с вложением в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки.
Рисунок 6. Пример содержимого одного из таких архивов.
Специалисты F.A.C.C.T. классифицировали исполняемый файл внутри архива как Zagrebator.Dropper. Он извлекает в зараженную систему исполняемый файл (Zagrebator.Stealer или Zagrebator.RAT), а также файл-приманку (BMP или PDF). После чего создает LNK-файл в startup-директории для закрепления следующей стадии в системе и отображает файл-приманку.
В последней обнаруженной атаке (декабрь 2024 года) Zagrebator.Dropper был незначительно обновлён: помимо описанных выше действий, ВПО также выполняло сбор и эксфильтрацию данных авторизации из браузеров (Mozilla, Opera, Microsoft Edge, Chrome).
Zagrebator.RAT – исполняемый файл, написанный на .NET, который поддерживает следующие команды:
· сохранить в указанный файл указанный контент;
· найти и отправить на С2 все файлы с рабочего стола и рекурсивно из всех подкаталогов;
· найти и отправить на С2 все файлы из указанного каталога, без рекурсии;
· перечислить все файлы всех дисков ПК (в корне, без рекурсии), отправить на С2;
· перечислить все файлы указанного диска или папки (в корне, без рекурсии), отправить на С2;
· удалить указанный файл;
· перезагрузить систему.
Zagrebator.Stealer также является исполняемым файлом, написанным на .NET, он имеет функциональные возможности для эксфильтрации файлов из зараженной системы. Эксфильтрация выполняется по следующему алгоритму:
· приложение перечисляет все диски на ПК и рекурсивно ищет на них файлы документов и баз данных (с расширениями *.anb, *.csv, *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.txt), пропуская системные каталоги;
· создаёт файл %AppData%WMI[BOT_GUID].dat, в который записывает хэш-суммы найденных файлов;
· проверяет по хэш-сумме и, если файл не был ранее обработан, отправляет его содержимое на С2-адрес. Отправка файла выполняется по HTTPS-протоколу с помощью PUT-запросов.
«Злоумышленник использует самописное вредоносное ПО, что позволяет ему быть более скрытным и обходить определённые системы обнаружения в ходе эксплуатации цепочки атаки на зараженной системе. Исходя из функциональных возможностей вредоносного ПО, мы полагаем, что мотивация злоумышленника FakeTicketer – шпионаж. Исходя из обнаруженных декой-файлов, считаем, что его атаки нацелены, в том числе, на государственный сектор», – комментирует Артем Грищенко, ведущий специалист по анализу вредоносного кода департамента киберразведки (Threat Intelligence) компании F.A.C.C.T.
Индикаторы компрометации Архивы
· 1c2ee5a5bc16ba130a51de02f1fe1e6560750e16e63e65f4f27c5ee2e74288d3
· 09a0e99a1dcaafc901699c39a858d320b40e76d03566ee9f9a9ce6f772441c85
· f38ed3b1bc479248c09c3c69449ca6702aefc20a26074fb8e8e65442429e2591
· 2d5ee1444a67c51194c6a9f01e23fd424c29b816b9cc0bd9d1d30ceba170f2d6
· 59d7b48a2ed217609841472ff75b8c6db4568690d17563b2515eda4fba695aaf
· 8d0cf230fd07a0e22c1937fd2b05e38bddb3bfb7cd6bd5fa27dd92dbe159876e
· 95278a151be694e1fb2f7109ecfbea4442d83ff799962ee23c59a4208b0f6095
Zagrebator.Dropper
· 878a94ead4c9deb3119993a0dcb9f35f38111d2d5840f529310fd6a24f6ebf0b
· 84adf0841fc83f7220d330b59e5dc831d8975249c31aedace6ba7ae920a48b86
· 1294a9c840603f2aeee1491d903f39fdbc6c3c77ca37db36769c048a889ab77a
· e36f92829bfaa7ba3e5c5ca769cc9a25b5a4cf8922e46ee4818fd0595621df4d
· 0d41414c3eedaa62f4c8733204432fe93c66fec7320843ffcc66fb04497864e6
· 29976fef84d04b1a3e95bdc1b0d7a5f8d7cd2dabba8e335796c368c2e6a1052d
· 57b6e5c52ef3c15852602e86bb33339208195180e5407d941f6075254e511ff5
Zagrebator.RAT
· 00793b6f15ba77e7560f50c4506de1697ec3ae8868f5f3fe9a26a2bcceb78263
· 194f719f9aff798fa02798b145ff473cde8c6886189c6c0849e1b17edd0ebd21
· 90432fdc7cc151b99954deface5ce9c3520a158f5284ec5b5d7115c3bdb03d13
· 585635b37f30c4e6e3a5a5d05642c1c7b32fd83fd842390d7ed58342e0105ee4
· eba4193e2008006eedacb18a45b5cd6d32ae6bbf53996f9b113c438a894f5076
· 3b5ecd89ae691e1bfcbe20d9a31f38cb98c63cea076336982f9d04d74d80231c
Zagrebator.Stealer
· d5c6af702f225c218bda9f4ef2d2c2dbd64b7f834b939d66e75c47b94df46b6b
Файловые пути
· %AppData%tmpFilestiket_d0d2a7da-60d4-4d58-b29c-e1b98900a004.bmp
· %AppData%WMISystemUpdateWMI.exe
· %AppData%WMI[BOT_GUID].dat
· %AppData%WMIOneDrivve.lnk
· %AppData%MicrosoftWindowsStart MenuProgramsStartupOneDrivve.lnk
· %AppData%tmpFiles9GHSF00q4-1A0R-4DGI4-Q007-KK7HD0FF484.bmp
· %AppData%DriveServiClouServicesStoragesUpdat.exe
· %AppData%DriveServiClouOneDrivwws.lnk
· %AppData%MicrosoftWindowsStart MenuProgramsStartupOneDrivwws.lnk
· %AppData%tmpFiles9GQSF00q4-1A0R-4DGI4-Q0Q4-QK7HD0FF4Q4.bmp
· %AppData%ServicesStoraDateoServicesStoraDateo.exe
· %AppData%ServicesStoraDateoOneDrivvwws.lnk
· %AppData%MicrosoftWindowsStart MenuProgramsStartupOneDrivvwws.lnk
· %AppData%tmpFiles9GW4F00q4-1A0R-4DGW4-40Q4-QK7HD0FQ4Q4.bmp
· %AppData%HomesHDDHomesHDD.exe
· %AppData%HomesHDDOneDriClous.lnk
· %AppData%MicrosoftWindowsStart MenuProgramsStartupOneDriClous.lnk
· %AppData%SystemtDevases[BOT_UID]
· %AppData%SystemtDevasesSystemtDevases.exe
· %AppData%SystfensDrivace[BOT_UID]
· %AppData%SystfensDrivaceSystfensDrivace.exe
· %AppData%tmpFiles9QW4F00Q4-YUS4-67GHE4-Q4Q4-QK7H40FQ4Q9.pdf
· %AppData%tmpFilesQJSEF5WQ-HD19-4SDASA6-JD6A-HDJTY0FJSJIU4.pdf
· %Startup%OneDrriCloide.lnk
· %Startup%OnesDrClud.lnk
· %AppData%SystemtDevasesOneDrriCloide.lnk
· %AppData%SystfensDrivaceOnesDrClud.lnk
Доменные имена
· storages[.]supports-update[.]info
· fille[.]updates-drive[.]info
· dateo[.]drive-infos[.]homes
· updates[.]infosecur-date[.]homes
· mobis[.]my-android[.]homes
· fensesyste[.]defaces-homes[.]lol
· rk-simferopol-municipal[.]insurance-rus[.]shop
Шаблоны URL
· hxxps://{domain}/drive/values/[BOT_UID]
· hxxps://{domain}/dri/oi/[BOT_UID]
· hxxps://{domain}/drive/pb/v
Источник: habr.com
