Sapphire Werewolf оттачивает известный стилер для новых атак
С марта 2024 года BI.ZONE Threat Intelligence отслеживает кластер активности, получивший название Sapphire Werewolf. Данный кластер реализовал более 300 атак на организации сфер образования, промышленности, информационных технологий, на военно-промышленный комплекс и аэрокосмическую сферу с использованием стилера Amethyst, который был разработан злоумышленниками на основе программы с открытым исходным кодом — SapphireStealer. Атакующие маскировали вредоносное программное обеспечение под постановление о возбуждении исполнительного производства, листовку ЦИК, а также указ Президента Российской Федерации. Со средней степенью уверенности мы можем заключить, что кластер использовал фишинговые электронные письма со ссылками, созданными с помощью сервиса-сокращателя T.LY, для доставки стилера в целевые системы.
- Злоумышленники, мотивацией которых является шпионаж, все чаще используют стилеры для получения различного аутентификационного материала.
- Атакующим не обязательно разрабатывать вредоносное программное обеспечение с нуля: они могут воспользоваться коммерческими вариантами или проектами с открытым исходным кодом.
- Использование актуальных тем и соответствие отвлекающих документов названиям вредоносных файлов повышает эффективность доставки вредоносного программного обеспечения в целевые системы.
Все вредоносные файлы, использованные злоумышленниками в рамках рассматриваемой кампании, имеют схожие функциональные особенности.
После открытия жертвой вредоносного файла осуществляется создание папки %AppData%\Microsoft\EdgeUpdate, после чего из ресурса Resources.MicrosoftEdgeUpdate в нее записывается файл MicrosoftEdgeUpdate.exe.
Для обеспечения персистентности в скомпрометированной системе осуществляется создание задачи в планировщике с помощью встроенной в исполняемый файл библиотеки FunnyCat.Microsoft.Win32.TaskScheduler.dll. Это легитимная библиотека, позволяющая создавать задачи в планировщике без непосредственного выполнения schtasks. Имя, описание и путь к исполняемому файлу в задаче маскируются под легитимную задачу MicrosoftEdgeUpdateTaskMachineCore. Созданная задача выполняется каждые 60 минут после запуска.
Задание в планировщике Windows
Также осуществляется запись отвлекающего документа в текущую директорию и его открытие.
Пример отвлекающего документа, используемого Sapphire Werewolf
После этого осуществляется запись стилера Amethyst (в файл VPN.exe во временной папке данных) и его запуск.
По завершении работы программы сработает триггер, удаляющий текущий исполняемый файл с помощью выполнения следующей команды: cmd.exe /C choice /C Y /N /D Y /T 3 & Del “[путь к текущему исполняемому файлу]”.
Как уже отмечалось, стилер Amethyst основан на исходном коде вредоносного ПО с открытым исходным кодом SapphireStealer.
При запуске файла осуществляется изменение зоны безопасности исполняемого потока на MyComputer, а также создание асинхронной задачи, которая впоследствии отправит собранные файлы на командный сервер.
Собранные файлы сохраняются в папку, названием которой является строка, сгенерированная с помощью UUID. Папка находится в каталоге с временными файлами.
Стилер осуществляет сбор следующих файлов:
- файлы конфигурации мессенджера Telegram из
%AppData%\Telegram Desktop\tdata; - базы данных паролей, куки, истории браузера, популярных сайтов, сохраненных страниц и конфигурации из следующих браузеров: Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, Edge Chromium, Torch, Amigo, CocCoc, Comodo Dragon, Epic Privacy Browser, Elements Browser, CentBrowser, 360 Chrome, 360 Browser;
- файлы, являющиеся журналами использования PowerShell и находящиеся в
%AppData%\Microsoft\Windows\PowerShell\PSReadLine; - файлы конфигурации
FileZillaиSSH.
Указанные файлы архивируются и отправляются на командный сервер, после чего осуществляется очистка папки.
Далее осуществляется сбор следующих файлов:
- файлы из
%UserProfile%\Downloads\Telegram Desktopсо следующими расширениями:.txt,.pdf,.doc,.docx,.xls,.xlsx,.crt,.cer,.ca‑bundle,.p7b,.p7c,.p7s,.pem,.key,.keystore,.jks,.p12,.pfx,.ppk,.pub,.sig,.sgn,.rsa,.rdp,.vnc,.tvc,.tvf,.amy,.ica,.plist,.lmi,.nxs,.remmina,.rvc,.json,.tf,.yml,.yaml,.dockerfile,.vncloc,.ini,.ovpn,.rtsx,.config,.jump,.x2go,.xml; - файлы с указанными выше расширениями с внешних носителей.
Собранные файлы также помещаются в архив и отправляются на управляющий сервер.
В последних версиях стилера при создании архива используется пароль, находящийся в памяти программы, а также добавляется комментарий, содержащий следующие данные:
- внешний IP‑адрес устройства, полученный с помощью запроса на сетевой ресурс
http://checkip.dyndns.org; - внутренний IP‑адрес устройства, полученный с помощью использования
C#классаDns; - имя устройства, полученное с помощью функции
GetHostNameклассаDns; - идентификатор пользователя, полученный с помощью WMI‑запроса
SELECT SerialNumber FROM Win32_BaseBoardи объектаwin32_processor=>processorID; - размер распакованного архива.
Командным сервером для отправки архива является бот в мессенджере Telegram, токен которого, как и идентификатор пользователя, находится в программе. Стоит отметить, что в программе могут быть указаны более чем один токен и более чем один идентификатор пользователя, которые служат заменой при недоступности главного бота или основного клиента.
Также программа может получить адрес дополнительного управляющего сервера с помощью поиска среди постов в превью указанного канала, находящегося в мессенджере Telegram. Страницу с превью канала стилер получает с помощью запроса на ресурс https://t.me/s/[идентификатор канала]. Текст поста с управляющим сервером выглядит следующим образом: %N[адрес управляющего сервера]?H.
Теги для отправляемого архива устанавливаются следующие:
filename— имя архива;usertag— 1;stepname— Ragdoll.
Файл MicrosoftEdgeUpdate.exe служит для того, чтобы загружать и запускать дополнительные файлы в скомпрометированной системе. Управляющий сервер для загрузки файлов он получает так же, как и Amethyst, — с помощью поста в превью канала мессенджера Telegram. Также при запросе добавляются следующие параметры:
- внешний IP‑адрес устройства, полученный с помощью запроса на сетевой ресурс
http://checkip.dyndns.org; - идентификатор пользователя, полученный с помощью WMI‑запроса
SELECT SerialNumber FROM Win32_BaseBoardи объектаwin32_processor=>processorID.
Запрос выглядит следующим образом: [адрес сервера + протокол]/download?ip=[внешний IP‑адрес устройства]&uId=[идентификатор устройства].
Также можно проследить, как изменяется вредоносное ПО с течением времени. Например, в файлах, обнаруженных около трех месяцев назад, папка для сохранения собранных данных называлась sapphire, что как раз указывает на то, что именно этот стилер послужил основой для Amethyst. Кроме того, на тот момент стилер не содержал в себе дополнительных стадий, а также не имел механизмов закрепления в скомпрометированной системе.
Собирался ограниченный набор данных: из браузеров не извлекалось ничего, кроме баз данных паролей и куки, а также игнорировались файлы из загрузок мессенджера Telegram, с внешних носителей и журналы использования PowerShell.
В ходе исследования мы также обнаружили дополнительные сведения о данном кластере активности. Так, например, был обнаружен список электронных почтовых адресов, по которым злоумышленники планировали провести рассылку, а также файлы, представляющие собой проект стилера в Visual Studio.
Проект стилера в Visual Studio
Также было обнаружено несколько файлов Microsoft Word и PDF:
Со средней степенью уверенности мы полагаем, что данные файлы злоумышленники планировали использовать в качестве отвлекающих документов.
301d00aeae52011530370dcf32d0b68ebdcec291d94501b90a44dcc9a714e595204bcbb030856bfbd7f4b5edad94e17e61a3d44cde88dbcf4f6a30adb786d1a65c01531a6b7f25b92e9a2d0d67fe7057813140d2c60dc0bb356b190aa91a5857
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Link |
Использует фишинговые электронные письма со ссылками, созданными с помощью сервиса T.LY |
| Execution |
User Execution: Malicious File |
Убеждает жертву загрузить и запустить вредоносный файл, чтобы инициировать процесс компрометации |
|
Command and Scripting Interpreter: Windows Command Shell |
Использует командную строку Windows для выполнения команд |
|
|
Windows Management Instrumentation |
Использует WMI для выполнения команд |
|
| Persistence |
Scheduled Task/Job: Scheduled Task |
Создает задачи в планировщике Windows для закрепления в скомпрометированной системе |
| Defense Evasion |
Indicator Removal: File Deletion |
Удаляет файл после выполнения |
|
Masquerading: Match Legitimate Name or Location |
Маскирует вредоносные файлы под легитимные |
|
| Credential Access |
Steal Web Session Cookie |
Собирает куки из браузеров |
|
Credentials from Password Stores: Credentials from Web Browsers |
Собирает пароли, сохраненные в браузерах |
|
| Discovery |
System Network Configuration Discovery |
Получает внешний и внутренний IP‑адрес скомпрометированной системы |
|
System Information Discovery |
Собирает информацию о скомпрометированной системе |
|
| Collection |
Data from Local System |
Собирает файлы из скомпрометированной системы |
|
Data from Removable Media |
Собирает файлы с внешних носителей |
|
|
Data Staged: Local Data Staging |
Копирует собранные данные в папку в скомпрометированной системе |
|
|
Archive Collected Data |
Архивирует собранные данные перед отправкой на командный сервер |
|
|
Automated Collection |
Осуществляет автоматический сбор данных |
|
| Command and Control |
Web Service: Bidirectional Communication |
Использует бот в Telegram в качестве командного сервера |
|
Ingress Tool Transfer |
Может загружать дополнительные файлы в скомпрометированную систему |
|
| Exfiltration |
Exfiltration Over Web Service |
Использует Telegram для выгрузки собранных данных |
Больше индикаторов компрометации, а также детальное описание тактик, техник и процедур данного кластера активности доступно на портале BI.ZONE Threat Intelligence.
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE EDR:
win_creation_task_that_run_file_from_suspicious_folderwin_possible_browser_stealer_activitywin_suspicious_access_to_software_sensitive_files
Также мы рекомендуем отслеживать подозрительную активность, связанную:
- с запуском подозрительных исполняемых файлов из папки
%Temp%; - запуском исполняемых файлов, мимикрирующих под системные, из нетипичных для них папок;
- созданием запланированных задач, которые являются нетипичными для организации;
- открытием файлов, содержащих чувствительные данные, нетипичными для этого процессами;
- обращением к внешним ресурсам, представляющим собой определители IP‑адреса.
Кластер Sapphire Werewolf в своих атаках использует методы закрепления, которые трудно обнаружить превентивными средствами защиты. Поэтому мы рекомендуем внедрять на конечных точках практики выявления киберугроз и реагирования на них, например, с помощью решения BI.ZONE EDR.
Чтобы быть на шаг впереди киберпреступников, важно понимать, как они адаптируют методы под конкретные инфраструктуры, и учитывать ландшафт киберугроз. Для этого мы рекомендуем использовать данные портала BI.ZONE Threat Intelligence. Он предоставляет информацию об актуальных атаках, злоумышленниках, их техниках и инструментах. Эти данные помогают обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз.