Bloody Wolf применяет коммерческое ВПО STRRAT против организаций в Казахстане
С конца 2023 года эксперты BI.ZONE Threat Intelligence отслеживают активность кластера Bloody Wolf, который реализует атаки на различные организации Казахстана, используя коммерческое вредоносное ПО STRRAT, также известное как Strigoi Master. Злоумышленники рассылают фишинговые электронные письма, например, от имени регуляторов республики. В них вложены PDF‑документы, которые содержат ссылки на загрузку ВПО, а также инструкции по установке интерпретатора Java, необходимого для функционирования вредоносной программы.
- Злоумышленники продолжают активно экспериментировать с коммерческим ВПО для реализации атак на различные организации.
- Использование более редких типов файлов, например JAR, позволяет атакующим эффективнее обходить средства защиты.
- Использование легитимных веб‑сервисов, например Pastebin, для обеспечения взаимодействия со скомпрометированной системой позволяет атакующим обходить сетевые средства защиты.
Жертва получала фишинговое электронное письмо, к которому был приложен PDF‑файл. Он имитировал уведомление об устранении нарушений и содержал ссылки на вредоносные JAR‑файлы.
Фрагмент фишингового документа, распространяемого злоумышленниками
Также документ содержал инструкции по установке интерпретатора Java, который необходим для работы вредоносного ПО.
Ссылки на инструкции по установке Java
При этом вторая ссылка вела на легитимный сайт госоргана Республики Казахстан, где также опубликована такая инструкция: Java обеспечивает корректную работу государственного портала.
Инструкция, размещенная на сайте госоргана
Для размещения вредоносных файлов злоумышленники использовали фишинговый ресурс, имитирующий сайт одной из государственных структур Республики Казахстан. Файлы представляют собой образцы ВПО STRRAT, которое ранее можно было найти в продаже на теневых ресурсах по цене от 80 долларов.
После запуска образец STRRAT загружает зависимости, в том числе библиотеки для перехвата нажатий клавиш system‑hook, находящейся в открытом доступе на GitHub.
ВПО копирует собственный файл в C:\Users\[user]\AppData\Roaming.
При наличии соответствующих аргументов командной строки программа создает файл, используемый для идентификации порта, на который нужно установить подключение. Файл будет находиться в каталоге C:\Users\[user]\ с именем [порт]lock.file. Если аргумент не был передан, то информация будет взята из конфигурации, находящейся в ресурсах resources\config.txt. В рассматриваемом случае номер порта — 15370.
При наличии соответствующей опции в конфигурации происходит создание задачи в планировщике на запуск каждые 30 минут. Задача маскируется под легитимную с помощью названия Skype.
cmd /c schtasks /create /sc minute /mo 30 /tn Skype /tr "C:\Users\admin\AppData\Roaming\1CUpdaterKZ.jar"
При наличии соответствующей опции в конфигурации для обеспечения персистентности создается параметр в разделе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
При наличии соответствующей опции в конфигурации создается копия вредоносного файла в каталоге автозапуска, например C:\Users\[user]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1CUpdaterKZ.jar.
При перезапуске из нового расположения инициализируется подключение к управляющему серверу, в данном случае это https://pastebin[.]com/raw/dFKy3ZDm:13570 и https://pastebin[.]com/raw/dLzt4tRB:13569.
ВПО собирает информацию о системе, в том числе об имени устройства и поддерживаемых языках с помощью обращения к разделам реестра HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\CONTROL\COMPUTERNAME\ACTIVECOMPUTERNAME и HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS соответственно.
Кроме того, используя WMI-запросы с помощью команды wmic.exe, ВПО получает информацию о дисках, архитектуре и версии операционной системы, а также об антивирусном ПО:
cmd.exe /c "wmic /node:. /namespace:'\\root\cimv2' path win32_logicaldisk get volumeserialnumber /format:list"
cmd.exe /c "wmic /node:. /namespace:'\\root\cimv2' path win32_operatingsystem get caption,OSArchitecture /format:list"
cmd.exe /c "wmic /node:. /namespace:'\\root\cimv2' path win32_operatingsystem get version /format:list"
cmd.exe /c "wmic /node:localhost /namespace:'\\root\securitycenter' path antivirusproduct get displayname /format:list"
STRRAT может обрабатывать следующие команды, полученные с управляющего сервера:
- Перезагрузка системы с помощью выполнения
exe /c shutdown /r /t 0. - Выключение системы с помощью
exe /c shutdown /s /t 0. - Удаление компонентов ВПО со скомпрометированной системы.
- Загрузка и запуск дополнительных файлов из указанных сетевых расположений.
- Загрузка и запуск файлов с управляющего сервера. Может выполнять файлы Visual Basic, JavaScript, WSF с помощью команды
wscript [имя загруженного файла], скомпилированные файлы Java с помощью командыexe -jar [имя загруженного файла], а также обычные исполняемые файлы с помощьюcmd.exe /c [имя загруженного файла]. - Интерактивное выполнение команд в командной строке Windows.
- Интерактивное выполнение команд с помощью интерпретатора PowerShell.
- Удаленное управление файлами в скомпрометированной системе, в том числе выполнение с помощью команды
exe /c [путь к файлу]. - Перехват нажатий пользователем клавиш с помощью библиотеки system‑hook.
- Получение списка активных процессов с помощью команды
exe /c wmic /node:. /namespace:’\\root\cimv2’ path win32_process get name,processed,commandline /format:list. - Управление списком программ в автозапуске. Текущие элементы автозапуска получаются с помощью команды
exe /c wmic /node:. /namespace:’\\root\cimv2′ path win32_startupcommand get name,location /format:list. - Удаленное управление браузером жертвы:
- Запуск браузера в зависимости от присутствующего в системе (Chrome, Firefox):
chrome.exe —new-window data:text/html,<title>Strigoi Browser</title> —mute-audio —disable-audio —window-position=[ширина экрана — 5],[высота экрана — 100]
firefox.exe -new-window data:text/html,<title>Strigoi Browser</title> - Сокрытие окна с помощью
ShowWindow([hwnd], 0). - Установление окна как плавающей панели инструментов (окно не отображается на панели задач) с помощью
SetWindowLong([hwnd], −20, 128). - Вывод окна из скрытого режима.
- Передача изображения страницы браузера на управляющий сервер.
- Возможность эмулировать нажатия мыши и клавиш в созданном окне браузера.
- Запуск браузера в зависимости от присутствующего в системе (Chrome, Firefox):
- Перемещение окна на координаты 10 000, 10 000.
- Удаленное управление экраном устройства жертвы с помощью собственного протокола передачи экрана на сторону сервера и нажатий клавиш на сторону жертвы.
- Установка прокси для скомпрометированной системы.
- Загрузка и запуск HRDP для установки удаленного соединения с удаленного ресурса, находящегося в памяти программы. Для подключения создается новый пользователь с помощью
exe /c net user [имя пользователя] [пароль] /add, а также производится скрытие имен пользователей с экрана входа с помощьюcmd.exe /c reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v “dontdisplaylastusername” /t REG_DWORD /d 1 /f. Также копируется профиль используемого браузера только что созданному пользователю. Имя пользователя генерируется случайно и состоит из пяти символов. При завершении сессии пользователь удаляется с помощью последовательности команд:cmd.exe /c net user [имя пользователя] /delete
cmd.exe /c wmic /node:. /namespace:’\\\\root\cimv2’ path win32_userprofile where “LocalPath=’[имя пользователя]’” delete
cmd.exe /c reg add HKLM\Software\Microsoft\CurrentVersion\Policies\System /v “dontdisplaylastusername” /t REG_DWORD /d 0 /f. - Сбор учетных данных из браузеров Chrome, Firefox, Internet Explorer, а также из почтовых клиентов Foxmail, Outlook, Thunderbird.
- Перезапуск процесса с привилегиями администратора с использованием verb runas.
- Шифрование и расшифрование файлов пользователя в каталогах
Загрузки,ДокументыиРабочий столс использованием алгоритма AES. Зашифрованным файлам добавляется расширение.crimson.
e35370cb7c8691b5fdd9f57f3f462807b40b067e305ce30eabc16e0642eca06b00172976ee3057dd6555734af28759add7daea55047eb6f627e5491701c3ec83cb55cf3e486f3cbe3756b9b3abf1673099384a64127c99d9065aa26433281167a6fb286732466178768b494103e59a9e143d77d49445a876ebd3a40904e2f0b025c622e702b68fd561db1aec392ac01742e757724dd5276b348c11b6c5e23e5914ec3d03602467f8ad2e26eef7ce950f67826d23fedb16f30d5cf9c99dfeb058ee113a592431014f44547b144934a470a1f7ab4abec70ba1052a4feb3d15d5c6https://pastebin[.]com/raw/dFKy3ZDm:13570https://pastebin[.]com/raw/dLzt4tRB:13569https://pastebin[.]com/raw/dLzt4tRB:10101https://pastebin[.]com/raw/YZLySxsv:20202https://pastebin[.]com/raw/8umPhg86:13772https://pastebin[.]com/raw/67b8GSUQ:13671https://pastebin[.]com/raw/8umPhg86:13771https://pastebin[.]com/raw/67b8GSUQ:13672https://pastebin[.]com/raw/dLzt4tRB:13880https://pastebin[.]com/raw/YZLySxsv:1388191.92.240[.]188185.196.10[.]116
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
Использует вложения в фишинговые электронные письма для доставки ВПО |
|
Phishing: Spearphishing Link |
Использует ссылки в приложенных документах для доставки STRRAT |
|
| Execution |
Command and Scripting Interpreter: Windows Command Shell |
Использует командную строку Windows для выполнения команд и сценариев |
|
Command and Scripting Interpreter: Visual Basic |
Может выполнять сценарии Visual Basic с помощью |
|
|
Command and Scripting Interpreter: JavaScript |
Может загружать и запускать сценарии JavaScript с помощью |
|
|
User Execution: Malicious File |
Жертве необходимо установить Java и запустить вредоносный JAR‑файл, чтобы инициировать процесс компрометации системы |
|
| Persistence |
Scheduled Task/Job: Scheduled Task |
Создает задания в планировщике для закрепления в скомпрометированной системе |
|
Create Account: Local Account |
Может создавать новых пользователей |
|
|
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Может модифицировать раздел реестра Run и копировать ВПО в папку автозагрузки |
|
| Privilege Escalation |
Access Token Manipulation: Create Process with Token |
Может перезапустить процесс с привилегиями администратора через runas |
| Defense Evasion |
Indicator Removal: File Deletion |
Может удалять компоненты ВПО из скомпрометированной системы |
|
Modify Registry |
Может скрывать имена пользователей с экрана входа в систему |
|
|
Hide Artifacts: Hidden Window |
Использует HRDP для входа в скомпрометированную систему |
|
| Credential Access |
Input Capture: Keylogging |
Перехватывает нажатия пользователем клавиш |
|
Credentials from Password Stores: Credentials from Web Browsers |
Извлекает аутентификационный материал из браузеров |
|
| Discovery |
Process Discovery |
Собирает информацию о запущенных процессах |
|
System Information Discovery |
Собирает информацию о скомпрометированной системе |
|
|
Software Discovery: Security Software Discovery |
Собирает информацию об антивирусном программном обеспечении |
|
| Collection |
Screen Capture |
Может управлять экраном скомпрометированной системы, в том числе передавать нажатия клавиш |
|
Browser Session Hijacking |
Может управлять браузером в скомпрометированной системе |
|
| Command and Control |
Proxy: Internal Proxy |
Может устанавливать прокси для скомпрометированной системы |
|
Web Service |
Использует веб‑сервис Pastebin для получения адреса командного сервера |
|
|
Ingress Tool Transfer |
Может загружать файлы с командного сервера или из иных сетевых расположений |
|
| Impact |
Data Encrypted for Impact |
Может шифровать пользовательские файлы в папках |
|
System Shutdown/Reboot |
Может осуществлять перезагрузку скомпрометированной системы или выключать ее |
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE EDR:
win_using_schtasks_to_create_suspicious_taskwin_creation_task_that_run_file_from_suspicious_folderwin_access_to_paste_services_from_nonbrowserswin_suspicious_security_software_discoverywin_using_standard_tool_to_create_new_userwin_possible_browser_stealer_activity
В атаках, подобных тем, которые реализовывал кластер Bloody Wolf, важно не только обнаружить попытку проникновения в сеть, но и вовремя нейтрализовать угрозу. Поэтому мы рекомендуем внедрять решения для защиты конечных точек от сложных угроз, например BI.ZONE EDR. Такой продукт поможет отследить атаку на ранних стадиях, оперативно отреагировать на нее в автоматическом режиме либо с помощью команды кибербезопасности.
Чтобы быть на шаг впереди злоумышленников, важно понимать, как они адаптируют свои методы под конкретные инфраструктуры, и учитывать ландшафт киберугроз. Для этого мы рекомендуем использовать данные портала BI.ZONE Threat Intelligence. Он предоставляет подробную информацию об актуальных атаках, злоумышленниках, их техниках и инструментах. Эти данные помогают обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз.