Cloud Werewolf атакует госслужащих России и Беларуси «путевками на лечение» и «приказами федеральных служб»
Специалисты BI.ZONE Threat Intelligence обнаружили новую кампанию кластера Cloud Werewolf, нацеленную на российские и белорусские государственные организации. С февраля по март атакующие реализовали не менее пяти атак. Злоумышленники продолжают полагаться на фишинговые электронные письма с вложенными документами Microsoft Office, а размещение вредоносного контента на удаленном сервере и ограничения на его скачивание позволяют им преодолевать средства защиты.
- Cloud Werewolf использует актуальные для целей темы, что значительно повышает вероятность открытия жертвой вредоносного вложения.
- IT‑инфраструктура государственных организаций часто устроена так, что злоумышленники могут эффективно использовать даже старые уязвимости. Это лишний раз говорит о том, как важно своевременно устранять уязвимости, особенно те, которые используются в реальных атаках.
- Размещение вредоносной нагрузки не в самом вложенном документе, а на стороннем сервере увеличивает вероятность обхода средств защиты.
В рамках текущей кампании Cloud Werewolf использовал документы Microsoft Office, ориентированные на сотрудников государственных предприятий. Например, файл с именем Путевки на лечение 2024.doc содержал информацию о путевках на санаторно-курортное лечение в том числе для ветеранов боевых действий.
Фрагмент документа Путевки на лечение 2024.doc, используемого кластером Cloud Werewolf
Другой документ содержал приказ федерального ведомства и назывался Приказ [redacted] № ВБ‑52фс.doc.
![Фрагмент документа Приказ [redacted] № ВБ-52фс.doc, используемого кластером Cloud Werewolf](/upload/pic/Cloud-Werewolf-02-screen.png)
Фрагмент документа Приказ [redacted] № ВБ‑52фс.doc, используемого кластером Cloud Werewolf
Еще один документ, использованный атакующими, представлял собой перечень требований к инженерной записке на проведение работ и назывался Инженерная записка.doc.
Фрагмент документа Инженерная записка.doc, используемого кластером Cloud Werewolf
Если жертва открывала вложенный файл, осуществлялось получение с удаленного ресурса, например https://triger-working[.]com/en/about-us/unshelling, шаблона документа. Шаблон представлял собой RTF‑файл, позволяющий осуществить эксплуатацию уязвимости CVE‑2017‑11882.
Успешная эксплуатация уязвимости и выполнение шелл-кода приводили к реализации следующих действий:
- Расшифрование вредоносной нагрузки, содержащейся внутри шелл-кода, с помощью операции XOR с размером ключа в 2 байта.
- Загрузка с удаленного сервера HTA‑файла, содержащего скрипт на Visual Basic, и его открытие.
Скрипт реализует следующие действия:
- Уменьшение размера окна и его перемещение за границы экрана.
- Получение пути к папке
AppData\Roamingс помощью получения значения параметраAPPDATAраздела реестраHKCU\Volatile Environment. - Создание файла
rationalistic.xmlпо полученному пути и запись в его альтернативные потоки данных следующих файлов:rationalistic.xml:rationalistic.hxn— файл, содержащий вредоносную нагрузку для соединения с командным сервером.rationalistic.xml:rationalistic.vbs— файл, отвечающий за расшифрование и запуск вредоносной нагрузки.rationalistic.xml:rationalisticing.vbs— файл, отвечающий за расшифрование и запуск вредоносной нагрузки.rationalistic.xml:rationalisticinit.vbs— файл, отвечающий за то, чтобы очистить содержимое всех файлов в папкеC:\Users\[user]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\, а такжеrationalistic.xml:rationalisticinit.vbsиrationalistic.xml:rationalisticing.vbsс помощью их открытия в режиме записи.
- Добавление файла
rationalistic.xml:rationalistic.vbsв автозагрузку путем создания параметраdefragsvcв разделе реестраHKCU\Software\Microsoft\Windows\CurrentVersion\Runсо значениемwscript /B “[путь к файлу rationalistic.xml:rationalistic.vbs]”. - Запуск файлов
rationalistic.xml:rationalisticing.vbsиrationalistic.xml:rationalisticinit.vbsс помощью командыwscript /B “[путь к файлу]”.
Расшифрованная вредоносная нагрузка позволяет осуществлять следующие действия:
- Получение объекта взаимодействия с сетевыми ресурсами с помощью обращения к ветке реестра
CLSID\{88d96a0b-f192-11d4-a65f-0040963251e5}\ProgID. - Использование прокси-сервера, адрес которого получен из раздела реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings. - Проверка наличия параметра
defragsvcв разделе реестраHKCU\Software\Microsoft\Windows\CurrentVersion\Runи его создание, если он отсутствует. - Соединение с сервером в бесконечном цикле.
Для получения дополнительных VBS‑файлов с командного сервера используется GET‑запрос на его адрес (например, https://web-telegrama[.]org/podcast/accademia-solferino/backtracker) с заголовком User‑Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) [название домена] Chrome/116.0.0.0 Safari/537.36 Edg/116.0.0.0"=" Chrome/116.0.0.0 Safari/537.36 Edg/116.0.0.0. Домен устройства получается из параметра USERDOMAIN раздела реестра HKCU\Volatile Environment. При размерах файла меньше 1 МБ они запускаются внутри памяти программы, иначе сохраняются в файл rationalistic.xml:rationalisticinit.vbs и запускаются с помощью wscript /B “[путь к файлу rationalistic.xml:rationalisticinit.vbs]”. Если выполнение происходит из файла rationalistic.xml:rationalisticing.vbs, то название будет rationalistic.xml:rationalisticinginit.vbs. После запуска содержимое файла будет очищено с помощью его открытия в режиме записи.
При наличии файла rationalistic.xml:rationalistic.tmp (или rationalistic.xml:rationalisticing.tmp в зависимости от активного файла) указанный файл будет отправлен на управляющий сервер с помощью POST-запроса. После отправки содержимое файла будет очищено с помощью его открытия в режиме записи.
- Кластер активен как минимум с 2014 года, также известен под именами Inception и Cloud Atlas.
- Представляет собой прогосударственную группу, целью которой является шпионаж.
- Преимущественно атакует государственные, промышленные и научные организации на территории России и Беларуси.
- В ходе постэксплуатации может использовать уникальные инструменты, например PowerShower и VBShower, а также разнообразные скрипты, написанные на Python.
- Использует LaZagne для получения аутентификационного материала.
- Использует Advanced IP Scanner для сбора информации об удаленных системах.
- Использует AnyDesk в качестве резервного канала доступа к скомпрометированной IT‑инфраструктуре.
- Использует RDP и SSH для продвижения по скомпрометированной IT‑инфраструктуре.
- Использует 7‑Zip для архивации собранных из скомпрометированных систем файлов.
- Удаляет записи, связанные с коммуникацией с командными серверами, например, из журналов прокси-серверов.
5af1214fc0ca056e266b2d093099a3562741122f32303d3be7105ce0c2183821b4c0902a9fb29993bc7573d6e84547d0393c07e011f7b633f6ea3a67b96c65779d98bd1f1cf6442a21b6983c5c91c0c14cd98ed9029f224bdbc8fdf87c003a4bserverop-parametrs[.]comtriger-working[.]comweb-telegrama[.]org
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
Использует фишинговые электронные письма с вредоносными вложениями |
| Execution |
Inter-Process Communication: Component Object Model |
Использует компоненты COM в скриптах VBS |
|
Exploitation for Client Execution |
Использует уязвимость CVE‑2017‑11882 в Microsoft Office для запуска шелл-кода |
|
|
User Execution: Malicious File |
Жертве необходимо открыть вредоносный файл для инициализации процесса компрометации |
|
|
Command and Scripting Interpreter: Visual Basic |
Использует скрипты VBS для реализации различных задач |
|
|
Windows Management Instrumentation |
Использует Windows Management Instrumentation |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Модифицирует раздел реестра |
| Defense Evasion |
Obfuscated Files or Information |
Обфусцирует код скриптов, шифрует шелл-код и вредоносную нагрузку с помощью XOR |
|
Deobfuscate/Decode Files or Information |
Использует XOR для расшифровки шелл-кода и вредоносной нагрузки |
|
|
Indicator Removal: File Deletion |
Очищает содержимое файлов путем открытия их в режиме записи |
|
|
Hide Artifacts: NTFS File Attributes |
Использует альтернативные потоки данных NTFS |
|
|
Template Injection |
Загружает шаблоны с удаленного сервера |
|
|
System Binary Proxy Execution: Mshta |
Использует mshta для запуска вредоносных HTA‑файлов |
|
| Discovery |
System Information Discovery |
Получает информацию о домене жертвы |
| Command and Control |
Application Layer Protocol: Web Protocols |
Использует HTTPS для взаимодействия с серверами |
|
Proxy: Internal Proxy |
Может использовать прокси-сервер |
|
|
Ingress Tool Transfer |
Загружает инструменты в скомпрометированную систему |
Больше индикаторов компрометации и детальное описание тактик, техник и процедур доступно на платформе BI.ZONE Threat Intelligence.
Кластер Cloud Werewolf в своих атаках использует методы закрепления на конечных точках, которые трудно обнаружить превентивными средствами защиты. Поэтому мы рекомендуем внедрять на конечных точках практики выявления киберугроз и реагирования на них, например, с помощью решения BI.ZONE EDR.
Чтобы быть на шаг впереди злоумышленников, важно понимать, как они адаптируют свои методы под конкретные инфраструктуры, и учитывать ландшафт киберугроз. Для этого мы рекомендуем использовать данные платформы BI.ZONE Threat Intelligence. Она предоставляет информацию об актуальных атаках, злоумышленниках, их техниках и инструментах. Эти данные помогают обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз.