Новая группировка Quartz Wolf применяет отечественное ПО в атаках на гостиничный бизнес
- Фишинговые рассылки остаются одним из главных методов получения первоначального доступа в контексте целевых атак.
- По умолчанию ОС Windows не отображает расширения файлов, что позволяет атакующим маскировать исполняемые файлы под документы.
- В качестве средства удаленного доступа к скомпрометированной системе Quartz Wolf использует отечественное ПО «АССИСТЕНТ», что позволяет группировке эффективно обходить традиционные средства защиты.
В рамках кампании злоумышленники рассылали фишинговые электронные письма от имени ООО «Федеральный Гостиничный Сервис». Письма содержали ссылку, которая вела на архив с вредоносным файлом (рис. 1).
Рис. 1. Текст письма, которое получали жертвы
Файл в архиве представлял собой инсталлятор Inno Setup, содержавший следующие файлы:
- компоненты ПО «АССИСТЕНТ»;
- файл
quartz.dll; - файл
roh2w3.bmp; - файл
whu3.cfg; - файл
zs3eu.bat.
Скрипт zs3eu.bat:
- создает папку
C:\Users\\[user\]\AppData\Roaming\tip; - копирует в нее все файлы из временной папки посредством xcopy;
- удаляет запущенный скрипт командой
del /f /q; - запускает ПО «АССИСТЕНТ» (
ast.exe); - удаляет содержимое временной папки командой
rd /s /q.
ПО «АССИСТЕНТ» загружает вредоносный файл quartz.dll, который содержит следующую стадию. Эта стадия зашифрована RC4, в качестве ключа используется контрольная сумма MD5 от контрольной суммы CRC32 от адреса командного сервера. Адрес командного сервера содержится в файле whu3.cfg, который также зашифрован RC4, а в качестве ключа используется контрольная сумма MD5 от контрольной суммы CRC32 от файла roh2w3.bmp.
Вторая стадия подменяет импорт GetCommandLine на собственную функцию инициализации и осуществляет следующие действия:
- записывает контрольную сумму MD5 от пароля, известного злоумышленникам, в раздел реестра
HKEY_CURRENT_USER\Software\safib\ast\SS— Security.FixPass; - устанавливает всем файлам в текущей директории атрибуты «Скрытый» и «Системный»;
- добавляет ПО «АССИСТЕНТ» в автозагрузку путем создания параметра tip в разделе реестра
Software\Microsoft\Windows\CurrentVersion\RunOnce; - создает уникальный идентификатор пользователя путем подсчета контрольной суммы MD5 от суммы контрольных сумм CRC32 версии ОС, имени пользователя и имени компьютера;
- получает идентификатор пользователя ПО «АССИСТЕНТ» из раздела реестра
HKEY_CURRENT_USER\Software\safib\ast\SS— your_id; - в цикле отправляет GET-запросы, содержащие идентификатор пользователя ПО «АССИСТЕНТ» и уникальный идентификатор пользователя, на командный сервер;
- передает
ast.exeпараметры -AHIDE и -ASTART для скрытого запуска.
На рис. 2 показан скриншот сайта ПО «АССИСТЕНТ».
Рис. 2. Сайт ПО «АССИСТЕНТ»
ПО «АССИСТЕНТ» позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows и т. п.
Quartz Wolf продолжает тренд на использование легитимного ПО в качестве средства удаленного доступа к скомпрометированным системам. Такой подход в очередной раз подтверждает свою эффективность, поэтому организациям следует обращать особое внимание на использование подобных средств и подвергать сомнению их легитимность.
- Обращайте внимание на файлы ПО «АССИСТЕНТ», расположенные в нестандартном месте.
- Отслеживайте сетевые коммуникации с
id.ассистент\[.\]рфна хостах, где ПО «АССИСТЕНТ» не должно быть установлено. - Осуществляйте мониторинг массового копирования файлов в подпапки
C:\Users\\[user\]\AppData\Roamingсредствами xcopy.
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access | Phishing: Spearphishing Link |
Quartz Wolf использует фишинговые ссылки для получения первоначального доступа |
| Execution | User Execution: Malicious File |
Жертве необходимо открыть вредоносный файл, чтобы инициировать процесс компрометации |
Command and Scripting Interpreter: Windows Command Shell |
Quartz Wolf использует командную строку Windows для выполнения скриптов |
|
| Persistence | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Quartz Wolf использует раздел реестра |
| Defense Evasion | Hide Artifacts: Hidden Files and Directories |
Quartz Wolf устанавливает файлам атрибуты «Скрытый» и «Системный» |
Hijack Execution Flow: DLL Search Order Hijacking |
Quartz Wolf использует DLL Search Order Hijacking для загрузки вредоносной библиотеки |
|
Indicator Removal: File Deletion |
Quartz Wolf удаляет файлы и папки в процессе инсталляции |
|
Modify Registry |
Quartz Wolf записывает пароль к ПО «АССИСТЕНТ» в реестр |
|
Obfuscated Files or Information |
Quartz Wolf использует RC4 для обфускации файлов |
|
| Command and Control | Application Layer Protocol: Web Protocols |
Quartz Wolf использует HTTP для коммуникаций с командный сервером |
Remote Access Software |
Quartz Wolf использует ПО «АССИСТЕНТ» для взаимодействия со скомпрометированной системой |
hXXp://firstradecare[.]website/7oxr/update.php
a7a1618ba69033848f690bcb7b022cd3d3a9f2850d896a611b1cb76cf6faba5d
adc3f6169d0b16746d5c9542c4cd2be8f12bf367a4bca5373f1e425eed794dad
Фишинговая рассылка — один из главных способов получить первоначальный доступ во время целевых атак. Чтобы защититься от нее, мы рекомендуем пользоваться специализированными решениями, которые блокируют спам и вредоносные письма, например BI.ZONE CESP. А эффективно распознать новые угрозы и оперативно нейтрализовать их помогут сервисы непрерывного мониторинга IT‑инфраструктуры, такие как BI.ZONE TDR.