NOVA — хорошо забытое старое
Специалисты BI.ZONE Threat Intelligence продолжают фиксировать широкомасштабную кампанию, нацеленную на российские организации разных отраслей. Злоумышленники используют коммерческий стилер NOVA — новый форк SnakeLogger. Цена аренды NOVA начинается от 50 $. Атакующие отправляют фишинговые письма с ВПО, маскируя его под архив с договорами.
- Злоумышленники продолжают активно использовать коммерческое ВПО, продаваемое через теневые ресурсы. Это позволяет атакующим экономить ресурсы и фокусироваться на его распространении.
- Использование популярных названий файлов для архивов с ВПО, а также ориентация на сотрудников организаций, обрабатывающих большое количество электронных писем, позволяет реализовывать успешные атаки.
- Стилеры остаются одной из главных угроз кибербезопасности. Аутентификационный материал, полученный с помощью такого ВПО, впоследствии может быть использован, например, для целевых атак с применением программ-вымогателей.
В рамках описываемой кампании злоумышленники распространяли NOVA в прикрепленных к фишинговым письмам архивах и маскировали их под договоры (например, Договор.exe). Примечательно, что атакующие не использовали ни двойное расширение, ни иконку, позволяющие замаскировать вредоносный файл под легитимный документ.
После запуска вредоносный файл осуществляет декодирование данных, скрытых методом стеганографии, из ресурсов с именем zabawa2, а затем копирует себя под другим именем в AppData\Roaming и осуществляет запуск PowerShell для добавления файла в исключения Microsoft Defender:
Add-MpPreference -ExclusionPath "C:\Users\%USERNAME%\AppData\Roaming\%FILENAME%.exe"
Для закрепления в скомпрометированной системе вредоносный файл использует планировщик заданий Windows:
schtasks.exe" /Create /TN "Updates\wZhPqlmXA" /XML "C:\Users\%USERNAME%\AppData\Local\Temp\tmp46B8.tmp"
Далее вредоносный файл запускает себя в состоянии suspended и осуществляет внедрение расшифрованной нагрузки в собственный дочерний процесс.
Цепочка API‑вызовов выглядит следующим образом: CreateProcessInternalA (suspended) → VirtualAllocEx → WriteProcessMemory → SetThreadContext → ResumeThread.
Примечательно, что вредоносный файл содержит строки на польском языке.
Строки в коде вредоносного файла
Внедряемая вредоносная нагрузка представляет собой стилер NOVA, форк другого популярного стилера — SnakeLogger.
Для получения информации об IP‑адресе и стране скомпрометированной системы NOVA осуществляет запросы к веб-ресурсам checkip[.]dyndns[.]org и reallyfreegeoip[.]org.
Стилер собирает сохраненные аутентификационные данные из различных источников, записывает нажатия клавиш, а также делает снимки с экрана и извлекает данные из буфера обмена.
Извлечение сохраненных аутентификационных данных из браузера Mozilla Firefox
Запись нажатий клавиш
Создание снимков с экрана
В рассматриваемом образце эксфильтрация собранных данных осуществляется по SMTP.
Конфигурация эксфильтрации собранных данных
Также образец потенциально имеет функциональность:
- по отключению Microsoft Defender и диспетчера задач;
- отключению редактора реестра;
- отключению командной строки.
В стилере имеются функции с соответствующими названиями, однако в них отсутствует код, необходимый для выполнения данных вредоносных действий.
Функции в коде стилера
Кроме того, обнаружена функция, которая ограничивает выполнение ВПО после определенной даты.
Функция, ограничивающая выполнение ВПО после определенной даты
NOVA распространяется по модели malware-as‑a‑service и может использоваться широким кругом злоумышленников.
Группа в мессенджере Telegram для продвижения, продажи и технической поддержки стилера была создана в августе 2024 года.
При этом разработчик предлагает не только стилер, но и криптор. Стоимость стилера начинается от 50 $ за лицензию на месяц и доходит до 630 $ за пожизненную, криптора — от 60 $ за месячную до 150 $ за трехмесячную.
831582068560462536daaeef1eff835315de4683cf8bed4d31660bdd69dca14ec4b713538004a9c84332b68b0a613a5de9dcf639e415feb14b3da926e164375f3c5a3609
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing |
NOVA распространяется через фишинговые письма |
| Execution |
User Execution: Malicious File |
Выполнение кода NOVA начинается после запуска пользователем вредоносного файла |
|
Command and Scripting Interpreter: PowerShell |
Загрузчик NOVA вызывает PowerShell для выполнения команд (в частности, для добавления в исключения Microsoft Defender) |
|
| Defense Evasion |
Impair Defenses: Disable or Modify Tools |
NOVA имеет функциональность по отключению командной строки, редактора реестра, диспетчера задач и других системных компонентов, а также для добавления себя в исключения AV |
|
Obfuscated Files or Information: Steganography |
Загрузчик NOVA использует стеганографические объекты для сокрытия полезной нагрузки |
|
|
Obfuscated Files or Information: Encrypted/Encoded File |
Полезная нагрузка стилера зашифрована |
|
|
Deobfuscate/Decode Files or Information |
NOVA расшифровывает нагрузку перед ее инжектом |
|
|
Masquerading |
Имена файлов NOVA зачастую мимикрируют под легитимные (например, |
|
|
Process Injection: Process Hollowing |
NOVA осуществляет инжектирование кода в собственный дочерний процесс |
|
|
Execution Guardrails |
В NOVA присутствует механизм по предотвращению запуска после определенной даты, записанной в его конфигурации |
|
| Collection |
Screen Capture |
NOVA делает снимки экрана |
|
Clipboard Data |
NOVA считывает содержимое буфера обмена |
|
| Discovery |
System Location Discovery |
NOVA получает информацию о стране/регионе с помощью IP‑сервисов: |
| Credential Access |
Unsecured Credentials: Credentials In Files |
NOVA имеет функциональность по краже данных из незащищенных хранилищ |
|
Credentials from Web Browsers |
NOVA осуществляет кражу данных из большого перечня браузеров (Edge, Firefox, Chrome и др.) |
|
|
Credentials from Password Stores |
NOVA осуществляет кражу данных из хранилищ паролей почты (Outlook), FTP‑клиентов |
|
|
Input Capture: Keylogging |
NOVA считывает нажатия клавиш с клавиатуры (кейлоггер-функциональность) |
|
| Exfiltration |
Exfiltration Over Alternative Protocol |
NOVA может осуществлять эксфильтрацию данных через SMTP, FTP (в зависимости от настроек семпла) |
|
Exfiltration Over Web Service |
NOVA может осуществлять эксфильтрацию данных через веб-сервис Telegram и его API (в зависимости от настроек семпла) |
|
| Persistence |
Scheduled Task |
NOVA осуществляет автозапуск с помощью планировщика заданий Windows |
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE EDR:
win_new_windows_defender_exception_was_addedwin_using_schtasks_to_create_suspicious_taskwin_access_to_ip_detection_servicewin_possible_browser_stealer_activity
Ключевой элемент в защите от стилеров — устранение возможности использовать аутентификационный материал. В этом помогают системы класса privileged access management, например BI.ZONE PAM. Они позволяют настроить ротацию секретов для подключения к критическим элементам IT‑инфраструктуры, поддерживают одноразовые пароли. Важно выбирать PAM‑систему, которая работает по принципу SSO (single sign‑on, технология единого входа) и сама проводит сквозную аутентификацию на целевых ресурсах от лица привилегированных учетных записей. В этом случае сотрудники не знают пароли, поэтому не сохраняют их в скриптах, не вводят с клавиатуры и т. д.
Для всесторонней защиты компаниям важно действовать проактивно и отслеживать на теневых ресурсах скомпрометированные корпоративные учетные записи. В этом поможет портал киберразведки BI.ZONE Threat Intelligence, где собраны, в частности, данные об утечках. Можно проверить информацию о скомпрометированных учетных записях по интересующему email-адресу, почтовому домену или всем его поддоменам, а также по конкретному URL‑адресу ресурса.