Mysterious Werewolf атакует российскую промышленность
Некоторое время назад зарубежные исследователи рассказали о новой группировке, от которой пострадали несколько российских поставщиков полупроводников. Управление киберразведки BI.ZONE также следит за этим кластером активности, получившим имя Mysterious Werewolf. Наши специалисты обнаружили еще одну атаку злоумышленников, на этот раз под удар попали производственные организации в России.
- Организации часто пренебрегают обновлением прикладного программного обеспечения, что позволяет злоумышленникам эффективно использовать даже те уязвимости, патчи для которых доступны продолжительное время.
- Использование динамических DNS позволяет атакующим иметь более гибкую инфраструктуру и избегать быстрой блокировки.
- Атакующие все чаще используют менее популярные фреймворки постэксплуатации, что позволяет им эффективнее обходить ряд средств защиты.
В этот раз атакующие выдавали себя за Министерство промышленности и торговли Российской Федерации, а фишинговые электронные письма содержали архивы с именем Pismo_izveshcanie_2023_10_16.rar, которые эксплуатировали уязвимость CVE-2023-38831.
Архив содержал легитимный документ в формате PDF, а также папку с вредоносным файлом CMD. После открытия архива и двойного щелчка по документу эксплоит запускал файл CMD. Соответственно, WinRAR.exe запускает cmd.exe, чтобы выполнить вредоносный файл CMD.
Возможности обнаружения 1
В данном случае WinRAR.exe запускает cmd.exe, чтобы выполнить вредоносный файл CMD (C:\Users\[redacted]\AppData\Local\Temp\Rar$DIa5576.1088\Pismo_Rassylka_Ministerstva_promyshlennosti.pdf.cmd). Запуск cmd.exe нетипичен для WinRAR.exe. Кроме того, мы можем использовать список расширений файлов, которые ассоциируются с эксплуатируемой уязвимостью, чтобы сделать наш метод обнаружения еще более точным.
Мы можем обращать внимание на WinRAR.exe, который запускает cmd.exe для выполнения файла с одним из следующих расширений: .cmd, .pif, .com, .exe, .bat, .lnk.
Вредоносный файл CMD выполняет следующий сценарий PowerShell:
powershell -nop -WindowStyle Hidden -c "Invoke-Command -ScriptBlock ([scriptblock]::Create([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('[redacted]'))))
Сценарий обфусцирован и выполняет следующие действия:
- загружает легитимный документ PDF (
Pismo_Rassylka_Ministerstva_promyshlennosti.pdf, его содержимое показано на рисунке ниже) chXXps://cloudfare[.]webredirect[.]org(провайдер динамических DNS Dynu) и открывает его; - загружает агент Athena c
hXXps://cloudfare[.]webredirect[.]orgи сохраняет его какC:\Users\[redacted]\AppData\Local\Microsoft\Windows\Fonts\MikrosoftEdge.exe; - создает задание в планировщике Windows для запуска агента каждые 10 минут:
schtasks /crEaTE /Sc mINUTE /mo 10 /TN "Microsoft Edge" /Tr C:\Users\[redacted]\AppData\Local\Microsoft\Windows\Fonts\MikrosoftEdge.exe /f.
Легитимный документ
Возможности обнаружения 2
Здесь мы имеем сразу несколько возможностей для обнаружения. Например, PowerShell взаимодействует с адресом провайдера динамических DNS — это подозрительно.
Далее, powershell.exe создает файлы в нетипичных расположениях — это еще один пример подозрительного поведения. Вы можете использовать информацию об этих папках для реализации проактивного поиска угроз, например искать подозрительные исполняемые файлы, запущенные из папок Fonts или Ringtones.
Чтобы закрепиться в скомпрометированной системе, атакующие использовали планировщик заданий Windows. Разумеется, такая активность создает много шума, но вы можете поэкспериментировать с параметрами командной строки, чтобы обнаружить аномальную активность. Например, можно сфокусироваться на тех, которые нетипичны для вашей IT‑инфраструктуры.
И наконец, агент Athena. В данном случае он использует Discord для получения команд, а значит, у нас есть возможность обнаружить подозрительные коммуникации, например, с discord[.]com или discordapp[.]com, исходящие не от приложения Discord или браузеров.
Mythic C2 представляет собой кросс-платформенный коллаборационный фреймворк для специалистов по тестированию на проникновение. Он позволяет оператору производить различные действия в контексте постэксплуатации — например, взаимодействовать с файловой системой скомпрометированной системы, загружать и выгружать файлы, выполнять команды и сценарии, сканировать сеть и т. п.
Несмотря на то что фреймворки постэксплуатации активно используются многими группировками, особенно если говорим о популярных вроде Cobalt Strike и Metasploit, Mythic мы видим в арсенале злоумышленников не так часто, что может позволить им обойти некоторые средства защиты, имеющиеся у организаций.
hXXps://cloudfare[.]webredirect[.]org;947bf4f9b0b0ad87f8abdfdf53ae7f518560959a5168ff1893b2a63f57cc35ca;85239a43c106a44aac81c772f87982848cf18bcce87b5c0b5c4f1b1ea17c8b66;a4ba00adcfc3d0be2f7e78fe7712dc379b8a82b6b6fd77351c51955f82595e20.
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access | Phishing: Spearphishing Attachment |
Mysterious Werewolf использует вложенные в фишинговые письма архивы, которые эксплуатируют уязвимость CVE-2023-38831 |
| Execution | Exploitation for Client Execution |
Mysterious Werewolf использует уязвимость CVE-2023-38831 в WinRAR для выполнения вредоносного кода в скомпрометированной системе |
User Execution: Malicious File |
Жертве необходимо открыть вредоносный файл, чтобы инициализировать процесс компрометации |
|
Command and Scripting Interpreter: Windows Command Shell |
В результате успешной эксплуатации запуск вредоносного файла CMD осуществляется с помощью командной строки Windows |
|
Command and Scripting Interpreter: PowerShell |
Mysterious Werewolf использует PowerShell для загрузки легитимных документов и агента Athena с удаленного сервера |
|
| Persistence | Scheduled Task/Job: Scheduled Task |
Mysterious Werewolf создает задания в планировщике Windows для закрепления в скомпрометированной системе |
| Defense Evasion | Masquerading: Match Legitimate Name or Location |
Mysterious Werewolf использует имена для вредоносных файлов, похожие на легитимные |
Obfuscated Files or Information |
Mysterious Werewolf использует Base64 для кодирования скриптов, выполняемых в PowerShell |
|
| Command and Control | Dynamic Resolution |
Mysterious Werewolf использует динамические DNS для загрузки файлов в скомпрометированную систему |
Ingress Tool Transfer |
Mysterious Werewolf загружает агент Athena с удаленного сервера |
|
Web Service: Bidirectional Communication |
Mysterious Werewolf использует Discord для коммуникации с С2 |
Фишинговые рассылки — популярный вектор атаки на организации. Для защиты почты можно применять специализированные сервисы, помогающие фильтровать нежелательные письма. Одно из таких решений — BI.ZONE CESP. Оно избавляет компании от проблемы нелегитимных писем, инспектируя каждое электронное сообщение. При этом используется более 600 механизмов фильтрации, реализованных на основе машинного обучения, статистического, сигнатурного и эвристического анализа. Такая проверка не задерживает доставку безопасных писем.
Если инцидент уже произошел, важно быстро отреагировать и запустить расследование. Это позволит понять, как злоумышленники попали в системы компании, изолировать скомпрометированные ресурсы от корпоративной сети, исключить возможность повторной атаки по схожему пути. Принять меры реагирования и провести дальнейшее расследование помогут специалисты BI.ZONE.
