«Давайте сверимся»: как Fluffy Wolf использует акты сверки в атаках
Специалисты BI.ZONE Threat Intelligence обнаружили ранее неизвестный кластер, активный как минимум с 2022 года. Он получил название Fluffy Wolf. Злоумышленники используют фишинговые письма с приложенными архивами, которые защищены паролями. Архивы содержали исполняемые файлы, замаскированные под акты сверки расчетов. Цель таких файлов — доставить в скомпрометированную систему набор инструментов, который мог включать легитимное средство Remote Utilities, стилер Meta Stealer, WarZone RAT или майнер XMRig.
- Фишинговые рассылки остаются эффективным методом получения первоначального доступа для злоумышленников: как минимум 5% сотрудников организаций скачивают и открывают вредоносные вложения.
- Злоумышленники продолжают экспериментировать с легитимным программным обеспечением для удаленного доступа, добавляя в свой арсенал всё новые варианты.
- Коммерческое ВПО и его «взломанные» варианты способствуют расширению ландшафта угроз в России и СНГ, а также позволяют реализовывать успешные атаки даже злоумышленникам с низким уровнем технической подготовки.
В одной из последних кампаний злоумышленники рассылали фишинговые электронные письма с темой «Акты на подпись» от имени одной из строительных компаний (рис. 1). К письму был прикреплен архив, пароль для которого был в названии файла.
Рис. 1. Фишинговое письмо
В архиве содержался файл Akt_Sverka_1C_Doc_28112023_PDF.com, который загружал и инсталлировал средство удаленного доступа Remote Utilities, а также запускал Meta Stealer.
При запуске вредоносного файла реализуются следующие действия:
- Создание копии в каталоге
C:\Users\[user]\AppData\Roaming, например, с именемZnruogca.exe(задается в конфигурации). - Создание ключа реестра
Znruogcaсо значением, равным пути к скопированному файлу, в разделе реестраHKCU\Software\Microsoft\Windows\CurrentVersion\Runдля обеспечения запуска вредоносного ПО после перезагрузки системы. - Запуск загрузчика Remote Utilities, который скачивает полезную нагрузку с управляющего сервера.
- Запуск копии активного процесса и внедрение в него полезной нагрузки Meta Stealer.
Установщик Remote Utilities представляет собой инсталлятор NSIS, копирующий модули программы по пути C:\ProgramData\TouchSupport\Bin и запускающий исполняемый файл Remote Utilities — wuapihost.exe.
Remote Utilities — легитимное средство удаленного доступа, с помощью которого злоумышленник может получить полный контроль над скомпрометированным устройством: есть возможность отслеживать действия пользователя, передавать файлы, выполнять команды, работать с диспетчером задач и т. п. (рис. 2).
Рис. 2. Официальный сайт Remote Utilities
Meta Stealer — клон популярного стилера RedLine, который активно используется для реализации атак на организации в России и СНГ. Например, этот же стилер использовал кластер Sticky Werewolf.
Приобрести стилер злоумышленники могут как на теневых форумах, так и в официальном телеграм‑канале (рис. 3).
Рис. 3. Сообщение из телеграм‑канала
Арендовать ВПО на месяц можно за 150 долларов, купить пожизненную лицензию — за 1000 долларов. Примечательно, что Meta Stealer можно использовать для реализации атак на территории России и СНГ: какие‑либо ограничения отсутствуют.
Стилер позволяет атакующим получить следующую информацию о системе:
- имя пользователя;
- разрешение экрана;
- версия операционной системы;
- язык операционной системы;
- уникальный идентификатор (MD5 (имя домена + имя пользователя + серийный номер устройства));
- часовой пояс;
- процессор (с помощью WMI‑запроса
SELECT * FROM Win32_Processor); - графические карты (с помощью WMI‑запроса
SELECT * FROM Win32_VideoController); - установленные браузеры (с помощью перебора ключей в ветках реестра
SOFTWARE\WOW6432Node\Clients\StartMenuInternetиSOFTWARE\Clients\StartMenuInternet); - установленные программы (с помощью перебора ключей в ветке реестра
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall); - установленные средства защиты (с помощью WMI‑запросов
SELECT * FROM AntivirusProduct,SELECT * FROM AntiSpyWareProductиSELECT * FROM FirewallProduct); - запущенные процессы (с помощью WMI‑запроса
SELECT * FROM Win32_Process Where SessionId=’[сессия текущего процесса]’); - установленные раскладки клавиатуры;
- снимок экрана.
После этого происходят сбор и отправка на управляющий сервер следующих данных:
- файлы, подходящие под маску из конфигурации;
- учетные данные и cookie из Chromium- и Firefox‑подобных браузеров (пути к браузерам указываются в конфигурации);
- данные из FileZilla;
- данные из криптокошельков (по конфигурации);
- данные из VPN‑клиентов, установленных на скомпрометированном устройстве (NordVPN, ProtonVPN).
Мы также отследили предыдущие кампании рассматриваемого кластера и выявили следующие варианты атак:
- Используется универсальный загрузчик, загружающий полезную нагрузку как установщика Remote Utilities, так и Meta Stealer.
- Используется установщик, содержащий полезную нагрузку Meta Stealer, но загружающий Remote Utilities с управляющего сервера.
- Используется только установщик Remote Utilities, Meta Stealer не используется.
- Используется WarZone RAT, еще один образец коммерческого ВПО, вместо Remote Utilities.
- Используется загрузчик для Remote Utilities, Meta Stealer и WarZone RAT в одном файле.
- Дополнительно используется майнер.
Продолжительность и вариативность атак, которые реализуют кластеры активности, подобные Fluffy Wolf, указывают на их эффективность. Несмотря на использование не самых сложных инструментов, злоумышленникам удается достигать цели. Это в очередной раз доказывает актуальность получения оперативных данных об угрозах для своевременного обнаружения и ликвидации вредоносной активности на ранних этапах жизненного цикла атаки.
bussines-a[.]ru3aaa68af37f9d0ba1bc4b0d505b23f10a994f7cfd9fdf6a5d294c7ef5b4c6a6a794d27b8f218473d51caa9cfdada493bc260ec8db3b95c43fb1a8ffbf4b4aaf7
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
Использует фишинговые электронные письма для получения первоначального доступа |
| Execution |
Windows Management Instrumentation |
Использует WMI, например, для сбора информации о скомпрометированной системе |
|
Command and Scripting Interpreter: PowerShell |
Использует PowerShell для выполнения команд и сценариев |
|
|
User Execution: Malicious File |
Жертве необходимо открыть вредоносный файл, чтобы инициировать процесс компрометации |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Использует раздел реестра |
| Defense Evasion |
Process Injection: Process Hollowing |
Использует Process Hollowing для внедрения кода в копию собственного процесса |
|
Obfuscated Files of Information |
Использует архивы, защищенные паролями, для доставки ВПО в целевую систему |
|
|
Masquerading: Match Legitimate Name or Location |
Именует файлы таким образом, чтобы они были похожи на легитимные |
|
| Credential Access |
Unsecured Credentials: Credentials In Files |
Получает аутентификационный материал, сохраненный в файлах |
|
Credentials from Password Stores: Credentials from Web Browsers |
Получает аутентификационный материал, сохраненный в браузерах |
|
| Discovery |
Process Discovery |
Получает информацию о запущенных процессах |
|
System Information Discovery |
Получает информацию о скомпрометированной системе |
|
|
Software Discovery: Security Software Discovery |
Получает информацию о средствах защиты скомпрометированной системы |
|
| Collection |
Data from Local System |
Собирает данные со скомпрометированной системы |
| Command and Control |
Application Layer Protocol: Web Protocols |
Использует |
|
Ingress Tool Transfer |
Загружает вредоносные файлы в скомпрометированную систему |
|
|
Remote Access Software |
Использует легитимное программное обеспечение для получения удаленного доступа к скомпрометированной системе |
|
| Exfiltration |
Exfiltration Over C2 Channel |
Выгружает собранные данные на командный сервер |
| Impact |
Resource Hijacking |
Использует ресурсы скомпрометированной системы для майнинга криптовалюты |
Больше индикаторов компрометации и детальное описание тактик, техник и процедур доступно на платформе BI.ZONE Threat Intelligence.
Фишинговые рассылки — популярный способ проникновения в периметр организации. Защититься от них помогут сервисы для фильтрации нежелательных писем. Одно из таких решений — BI.ZONE CESP. К каждому электронному сообщению оно применяет более 600 механизмов фильтрации, используя технологии машинного обучения и разные виды анализа: статистический, сигнатурный, эвристический. Такая проверка избавляет компанию от проблемы нежелательных писем, при этом не задерживая доставку легитимной почты.
Чтобы быть на шаг впереди злоумышленников, важно понимать их методы атак конкретных инфраструктур и учитывать ландшафт киберугроз. Для этого мы рекомендуем использовать данные платформы BI.ZONE Threat Intelligence. Она предоставляет информацию об актуальных атаках, злоумышленниках, их методах и инструментах. Эти данные помогают обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее критичных для компании угроз.