Грозные посещения
«Лаборатория Касперского» опубликовала новое исследование, касающееся деятельности группировки Librarian Ghouls. Также известная как Rare Werewolf и Rezet, это APT-группа, которая атакует организации в России и странах СНГ. В настоящее время группировка регулярно производит атаки на российские предприятия.
«Одна из характерных черт этой угрозы заключается в том, что злоумышленники не создают собственные вредоносные бинарные модули. Для достижения своих целей группа предпочитает использовать легитимное ПО сторонних разработчиков», - написали исследователи.
Основная функциональность кампании реализована с помощью командных файлов и PowerShell-скриптов.
«Атакующие получают удаленный доступ к устройству жертвы, крадут учетные данные и устанавливают в систему майнер XMRig», - говорится в публикации.
В последнее время группировка отметилась использованием новых для нее инструментов.
Главный начальный вектор заражения группы - узконаправленные фишинговые сообщения, в которых скрыты защищенные паролем архивы с исполняемыми файлами. Как обычно, эти сообщения замаскированы под письма от реальных организаций, а содержимое архивов - под официальные документы. На деле же там целый ворох легитимных и вредоносных инструментов.
Этапы большого пути заразы
Экспертам «Лаборатории» удалось перехватить один из вредоносов: он оказался самораспаковывающимся инсталлятором, cозданным при помощи утилиты Smart Install Maker для Windows. Из него распаковываются три файла: архив (data.cab), конфигурационный файл и ничего не значащая пустышка (runtime.cab).
Вредоносная логика в основном реализована в конфигурационном файле (installer.config).
«Он содержит множество команд для модификации реестра, при помощи которых выполняется автоматическая установка легитимного диспетчера открытых окон 4t Tray Minimizer в систему. Это программное обеспечение может сворачивать запущенные приложения в системный трей, что позволяет атакующим скрывать следы пребывания в зараженной системе,» - пишут исследователи.
После установки 4t Tray Minimizer инсталлятор извлекает три файла из data.cab и помещает их в папку C:\Intel. Из этих трех один является PDF-документом, который не содержит никаких вредоносных составляющих. Второй - это легитимная утилита curl.exe. Третий - файл-ярлык bat.lnk.
Затем инсталлятор создает и запускает командный файл rezet.cmd, который устанавливает соединение с контрольным сервером downdown.ru, скачивает шесть файлов с расширением .jpg и загружает их в тот же каталог C:\Intel. Расширения .jpg заменяются на exe (driver.exe, blat.exe, svchost.exe, dc.exe), rar (Trays.rar) и ps1 (wol.ps1).
Файл driver.exe - это вариант консольной версии WinRAR 3.80. В нем удалены все строки для диалога с пользователем: она может выполнять команды, но не выводит никакую значимую информацию в консоль.
Blat.exe — это легитимная утилита Blat для отправки почтовых сообщений и файлов по SMTP-протоколу. Атакующие используют ее для доставки украденных данных на свой сервер электронной почты. Svchost.exe — ПО AnyDesk для удаленного доступа. Злоумышленники используют эту утилиту для удаленного управления зараженной машиной. Dc.exe — ПО Defender Control, позволяющее отключить встроенный антивирус Windows Defender.
После загрузки файлов скрипт распаковывает Trays.rar при помощи driver.exe и запускает содержавшийся в нем файл Trays.lnk. Этот ярлык позволяет запускать 4t Tray Minimizer свернутым в трей.
Ну, а затем производится установка инструмента для удаленного доступа AnyDesk в каталог C:\Intel\AnyDesk и запускается файл bat.lnk.
Тот, в свою очередь, запускает пакетный файл bat.bat, который выполняет целый ряд вредоносных действий: задает фиксированный пароль к AnyDesk (QWERTY1234566), отключает Windows Defender, и сразу шесть раз запускает утилиту powercfg (отвечающую за настройки электропитания) с различными параметрами.
От заката до рассвета
«Далее bat.bat запускает утилиту schtasks для создания задачи планировщика ShutdownAt5AM, которая выключает ПК жертвы ежедневно в 05:00 утра. Мы полагаем, что таким образом атакующие скрывают следы выполненной вредоносной активности, чтобы у пользователя не возникли подозрения о перехвате контроля над его устройством», - написали эксперты «Лаборатории».
Затем, с помощью PowerShell пакетный файл запускает скрипт wol.ps1. Этот скрипт ежедневно запускает браузер Microsoft Edge в 01:00 по местному времени. По-видимому, это лишь средство вывода системы из спящего режима, после чего у операторов кампании в распоряжении четыре часа для проведения манипуляций на машине жертв.
Файл bat.bat тем временем удаляет инсталлятор AnyDesk, утилиту curl.exe и Trays.rar, а затем задает переменные окружения для работы с утилитой Blat. Эти переменные включают адреса электронной почты, куда будут отправлены данные жертвы, и пароли к этим учетным записям.
Затем вредонос начинает собирать интересующую его операторов информацию. Это, в частности, сведения о криптовалютных кошельках (в т.ч. seed-фразы и дампы веток реестра HKLM\SAM и HKLM\SYSTEM. Собранные данные собираются в два раздельных запароленных архива и отправляются на ресурсы злоумышленников.
Финальным этапом становится инсталляция криптомайнера. Скрипт разворачивает в системе файл настроек bm.json, содержащий адрес пула для майнинга и идентификатор злоумышленников, и скачивает с адреса https://bmapps[.]org/bmcontrol/win64/ исполняемый файл Install.exe. Этот файл ищет в системе указанный файл json и проверяет присутствие процесса bmcontrol.exe.
Этот процесс соответствует контроллеру майнера, и в случае обнаружения вредонос его останавливает. А затем - с того же адреса - скачивает архив с инструментами для майнинга: новую версию инсталлятора, контроллер, утилиты для для запуска, остановки и удаления контроллера и майнер XMRig.
Перед запуском майнера контроллер проверяет количество доступных ядер процессора, объем доступной оперативной памяти и наличие GPU.
По окончании процедуры bat.bat самоудаляется.
Эксперты «Лаборатории» указывают, что, помимо перечисленных выше утилит, отмечено использование ряда других - вполне легитимных - программ для проведения атак.
Это, в частности, DLP-система Mipko Personal Monitor, используемая, по-видимом, для слежки за жертвой; утилита для восстановления паролей WebBrowserPassView, глобальный обратный прокси-сервис ngrok и утилита для скрытного выполнения действий NirCmd.
«Использование легитимных утилит снижает вероятность обнаружения со стороны защитных средств», - отмечает Александр Зонов, эксперт по информационной безопасности компании SEQ. - Это дополнительно увеличивает степень угрозы: злоумышленники могут весьма продолжительное время осуществлять вредоносные действия, не привлекая внимания. «Эффективно противодействовать им можно, по-видимому, только с помощью систем, включающих поведенческий анализ. Впрочем, присутствие майнингового рига там, где его присутствие не предполагалось, выглядит как визитная карточка - или прощальный привет».
К настоящему времени жертвами кампании стали сотни пользователей из России. «В основном кампания нацелена на производственные предприятия; злоумышленников также интересовали технические университеты. Кроме того, описанные атаки затронули пользователей в Беларуси и Казахстане», - пишут исследователи.
По их мнению, деятельность APT Librarian Ghouls «имеет отношение к российско-украинскому конфликту», а ее методы больше всего напоминают деятельность хактивистских групп.
Поделиться
