Камень ограненный: Sapphire Werewolf использует новую версию Amethyst Stealer для атак на ТЭК
Команда BI.ZONE Threat Intelligence продолжает отслеживать активность кластера Sapphire Werewolf. Выяснилось, что злоумышленники обновили Amethyst Stealer — программу с открытым исходным кодом, которую доставляют с помощью фишинговых электронных писем. На этот раз атаке подверглись топливно-энергетические компании.
- Злоумышленники развивают собственные инструменты, чтобы эффективнее преодолевать средства защиты информации.
- Новая версия стилера Amethyst позволяет максимально широко проверять, как выполняется код в виртуальной среде, а также применять алгоритм Triple DES для шифрования строк.
- При помощи аутентификационного материала атакующие могут получить доступ к широкому перечню информационных систем, а следовательно, к конфиденциальным данным.
Sapphire Werewolf маскирует вредоносное вложение под служебную записку и отправляет ее жертве от имени отдела кадров.
Письмо содержит архив с названием Служебная записка .rar. Внутри архива находится исполняемый файл Служебная записка .exe с иконкой PDF-документа. Программа написана на C# и защищена протектором .NET Reactor.
Данный вредоносный файл является .NET‑загрузчиком, содержащим в себе закодированную Base64 полезную нагрузку. Она представляет собой исполняемый файл формата PE.
Base64-строка декодируется в массив байтов, загружается в память и запускается с помощью Assembly.Load() и метода Invoke().
Этот PE‑файл является вредоносной программой Amethyst Stealer, также защищенной .NET Reactor. Как и предыдущие исследованные экземпляры этого стилера, данный образец осуществляет загрузку из ресурсов в память вспомогательной библиотеки DotNetZip.dll (Ionic’s Zip Library версии 1.16) для упаковки файлов. Отправляет информацию о системе, содержащую IP‑адрес, строку с информацией о том, является ли машина VM или нет: VM или NOT_VM. Данные передаются по следующему адресу: hxxp://canarytokens[.]com/traffic/tags/static/xjemqlqirwqru9pkrh3j4ztmf/payments.js.
Начало строки User-Agent содержит слово Brussel (предположительно, это идентификатор кампании).
Также зафиксированы запрос по адресу: wondrous-bluejay-lively.ngrok-free[.]app и обращение для проверки/получения IP по адресу: checkip.dyndns[.]org.
Из ресурсов Amethyst Stealer также извлекается и открывается отвлекающий PDF-документ.
Среди примечательных особенностей нового варианта вредоносной программы Amethyst Stealer можно выделить следующие:
- Обширная функциональность проверок на исполнение в среде виртуальных машин:
- Попытка получения файлового дескриптора, характерного для виртуального устройства VirtualBox VM.
-
Проверка на наличие ключа реестра, который используется VMware Tools.
-
Проверка производителя и модели оборудования через WMI.
-
Проверка производителя процессора, в том числе Parallels.
-
Проверка производителя системной платы и BIOS.
-
Проверка информации о модели диска.
-
Проверка устройств plug and play.
-
Проверка служб.
-
А также проверка на то, были ли модифицированы ключи реестра, связанные с VM, за последний месяц.
-
Помимо перечисленного, стилер злоупотребляет WMI для сбора большого количества информации о скомпрометированной системе.
- Попытка получения файлового дескриптора, характерного для виртуального устройства VirtualBox VM.
- Другая интересная особенность данного варианта стилера — использование симметричного алгоритма шифрования Triple DES, однако не для всего кода (как это применяется в .NET‑загрузчиках), а практически для всех строк, которые являются аргументами вызываемых функций данного ВПО.
Amethyst Stealer извлекает:
- аутентификационные данные из Telegram, браузеров Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, Edge Chromium и других, файлов конфигурации FileZilla и SSH;
- различные файлы конфигураций удаленных рабочих столов, VPN‑клиентов;
- различные типы документов (в том числе с внешних носителей).
93d048364909018a492c8f709d38543894034e04636bc4450273b50b07b45f636ff59b054149b07d9fdcd04b34efa0a64e47a1b9581ff9d1f670ea552b7c93fb66199b5f
Больше индикаторов компрометации доступно на портале BI.ZONE Threat Intelligence.
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access | Phishing |
Использует фишинговые электронные письма |
| Execution | User Execution: Malicious File |
Убеждает жертву загрузить и запустить вредоносный файл, чтобы инициировать процесс компрометации |
Command and Scripting Interpreter: Windows Command Shell |
Использует командную строку Windows для выполнения команд |
|
Windows Management Instrumentation |
Использует WMI для выполнения команд |
|
| Persistence | Scheduled Task/Job: Scheduled Task |
Создает задачи в планировщике Windows для закрепления в скомпрометированной системе |
| Defense Evasion | Indicator Removal: File Deletion |
Удаляет файл после выполнения |
Masquerading: Match Legitimate Name or Location |
Маскирует вредоносные файлы под легитимные |
|
Deobfuscate/Decode Files or Information |
Расшифровывает строки функций в runtime |
|
Obfuscated Files or Information: Software Packing |
Загрузчик стилера и сам стилер защищены протектором .NET Reactor |
|
Obfuscated Files or Information: Embedded Payloads |
Загрузчик содержит в себе закодированный Base64 PE‑файл |
|
Obfuscated Files or Information: Command Obfuscation |
Данная версия Amethyst Stealer передает в методы строки, зашифрованные алгоритмом Triple DES |
|
Virtualization/Sandbox Evasion: System Checks |
Осуществляет обширное количество проверок на исполнение в виртуализированной среде |
|
| Credential Access | Steal Web Session Cookie |
Собирает cookie из браузеров |
Credentials from Password Stores: Credentials from Web Browsers |
Собирает пароли, сохраненные в браузерах |
|
| Discovery | System Network Configuration Discovery |
Получает внешний и внутренний IP‑адрес скомпрометированной системы |
System Information Discovery |
Собирает информацию о скомпрометированной системе |
|
| Collection | Data from Local System |
Собирает файлы из скомпрометированной системы |
Data from Removable Media |
Собирает файлы с внешних носителей |
|
Data Staged: Local Data Staging |
Копирует собранные данные в папку в скомпрометированной системе |
|
Archive Collected Data |
Архивирует собранные данные перед отправкой на командный сервер |
|
Automated Collection |
Осуществляет автоматический сбор данных |
|
| Command and Control | Web Service: Bidirectional Communication |
Использует бот в Telegram в качестве командного сервера |
Ingress Tool Transfer |
Может загружать дополнительные файлы в скомпрометированную систему |
|
| Exfiltration | Exfiltration Over Web Service |
Использует Telegram для выгрузки собранных данных |
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE EDR:
win_creation_task_that_run_file_from_suspicious_folderwin_possible_browser_stealer_activitywin_suspicious_access_to_software_sensitive_files
Также мы рекомендуем отслеживать подозрительную активность, связанную:
- с запуском подозрительных исполняемых файлов из папки
%Temp%; - запуском исполняемых файлов, мимикрирующих под системные, из нетипичных для них папок;
- созданием запланированных задач, которые являются нетипичными для организации;
- открытием файлов, содержащих чувствительные данные, нетипичными для этого процессами;
- обращением к внешним ресурсам, представляющим собой определители IP‑адреса.
Как и многие другие группировки, Sapphire Werewolf получает первоначальный доступ в инфраструктуру жертвы с помощью фишинговых писем. Защититься от этого помогут сервисы фильтрации нежелательной почты. Например, BI.ZONE Mail Security — решение, которое обладает высокопроизводительным ядром нашей разработки и совмещает разные методы анализа email‑трафика.
Чтобы построить эффективную киберзащиту организации, необходимо понимать, с какими угрозами предстоит иметь дело. Для этого нужно знать методы и инструменты злоумышленников, а также изучать атаки, происходящие здесь и сейчас. В этих целях мы рекомендуем использовать данные портала BI.ZONE Threat Intelligence. Он предоставляет подробную информацию об актуальных кибератаках, злоумышленниках, их тактиках, техниках и используемых инструментах, а также сведения с теневых ресурсов. Эти данные помогут проактивно защищать компанию и быстро реагировать на возникающие инциденты кибербезопасности.