Scaly Wolf применяет стилер White Snake против российской промышленности
К настоящему моменту команда BI.ZONE Threat Intelligence связала с группировкой Scaly Wolf не менее десяти кампаний. Под удар попали организации различных отраслей на территории России, в том числе производственные и логистические.
Одна из особенностей группы в том, что для получения первоначального доступа они рассылают фишинговые письма от лица российских государственных служб. В фишинговом арсенале преступников — требования Роскомнадзора, Следственного комитета РФ, Военной прокуратуры РФ. В редких случаях атакующие маскируют письмо под коммерческое предложение. Стоит отметить, что во всех случаях текст письма составлен грамотно с юридической точки зрения, что делает рассылку убедительной, вызывает доверие пользователя и побуждает запустить вредоносный файл. Реализация атаки приводит к заражению систем полезной нагрузкой в виде стилера White Snake, о котором мы писали ранее, и краже корпоративных данных.
- Стилеры остаются одним из наиболее популярных типов ВПО, распространяемых злоумышленниками. При этом многие из них теперь имеют и дополнительные функциональные возможности, что позволяет эффективно использовать их для целевых и сложных атак.
- Модель malware‑as‑a‑service позволяет атакующим не тратить время на разработку ВПО и сразу получить готовый продукт. Более того, коммерческое ВПО, подобно легитимному, часто оказывается в публичном доступе в виде «взломанных» версий.
- Несмотря на запрет многих разработчиков ВПО распространять его на территории России и СНГ, злоумышленники находят способы модификации и иногда используют его и в этих регионах. Это лишний раз подчеркивает важность мониторинга теневых ресурсов с целью идентификации такого ВПО до того, как оно будет использоваться против российских организаций.
Как уже было упомянуто ранее, стилер White Snake — главный инструмент в арсенале Scaly Wolf, что, безусловно, является еще одним отличительным признаком группы. Впервые инфостилер засветился в феврале 2023 года в теневом сегменте интернета как средство для реализации целевых атак. Также White Snake распространяется через канал в мессенджере Telegram.
Аренда стилера на рынке доступна всего за 140 $ в месяц. Кроме того, киберпреступникам даже не нужно обладать опытом, так как обращаться с программой несложно. Поэтому, чтобы реализовать атаку с этим вредоносным ПО, достаточно его арендовать, из‑за чего спрос в даркнете на стилер достаточно высок. Возможность аренды или покупки такого класса ВПО позволяет значительно снизить уровень квалификации, необходимый злоумышленникам для реализации целевых атак.
White Snake имеет возможность кросс‑платформенного запуска с помощью загрузчика на языке Python. На платформе Windows стилер реализует следующие функциональные возможности:
- троян удаленного доступа;
- настройку в зависимости от XML‑конфигурации;
- кейлогер для кражи информации о нажатых клавишах.
Успешная атака с его использованием может позволить злоумышленникам получить доступ сразу к нескольким корпоративным ресурсам, например электронной почте и CRM. ВПО способно собирать аутентифиĸационные данные (пароли, сохраненные в браузерах и других приложениях, данные криптокошельков), а также копировать файлы, записывать нажатия клавиш и получать удаленный доступ к скомпрометированному устройству. Помимо этого, стилер использует сервис Serveo.net для SSH‑доступа ĸ зараженной машине, что дает атакующему возможность выполнять ĸоманды на скомпрометированном хосте, включая загрузку дополнительных модулей для решения задач постэĸсплуатации. Еще одна функциональность стилера — отправка оповещений о новых зараженных устройствах в бот мессенджера Telegram.
С появлением White Snake на черном рынке специалисты управления ĸиберразведĸи BI.ZONE начали отслеживать активность данного стилера в сети и его применение относительно различных организаций. Несмотря на запрет проводить атаки против стран СНГ, были обнаружены кампании, нацеленные на российские организации. В выявленных атаках отчетливо выделялся схожий набор тактик, техник и процедур (TTP), который и позволил отнести часть атак с использованием инфостилера White Snake к группировке Scaly Wolf. Характерная атака группировки представляет собой рассылку фишинговых писем, сконструированных схожим образом и замаскированных под государственные службы. Еще одним отличительным признаком является то, что вредоносное ПО почти всегда находится в защищенном ZIP‑архиве, пароль от которого содержится в имени файла архива, например Требование CK от 08.08.23 ПАРОЛЬ — 123123123.zip.
Июнь
Впервые Scaly Wolf заявила о себе в июне 2023 года, нацелившись на российские организации под видом требований Роскомнадзора. Тогда же команда BI.ZONE Threat Intelligence обратила пристальное внимание на активность White Snake, а позже начала отслеживать действия группировки, стоящей за этим стилером. В рамках обнаруженной кампании жертве приходило фишинговое письмо, к которому был прикреплен архив Требование Роскомнадзор № 02‑12143(пароль‑12121212).rar, содержащий следующие файлы:
Требование РОСКОМНАДЗОР № 02‑odt;Приложение к требованию РОСКОМНАДЗОРА о предоставлении пояснений, по факту выявления данных в ходе мониторинга и нанализа списки запрещенн интернет ресурсов, айпи адресов.exe;РОСКОМНАДЗОР.png.
Первый файл представлял собой фишинговый документ (рис. 1), цель которого — отвлечь внимание жертвы и убедить в безопасности второго файла — замаскированного стилера White Snake.
Рис. 1. Текст фишингового документа
Июль
В июле мы выявили новую фишинговую рассылку ВПО White Snake, которая осуществлялась якобы от имени Следственного комитета РФ. В теме письма (рис. 2) говорилось о расследовании уголовного дела, связанного с уклонением от уплаты налогов («Запрос следственного комитета в рамках расследования уклонения от уплаты налогов»). К нему прилагался архив Запрос ГСУ СК РФ Уклонение от налогов № 7711 от 18.07.2023 пароль 12121313.zip, защищенный паролем. Внутри находились документы:
Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.rtf;Перечень предприяти, уклонения от уплаты налогов, банковские счета, суммы уклонения, схема.exe.
Как и в июньской кампании, второй файл был замаскирован под приложение к безвредным документам, хотя по факту являлся инфостилером.
Рис. 2. Текст фишингового письма
Август
В августе злоумышленники продолжили использовать тему со Следственным комитетом РФ. 7 августа была обнаружена новая рассылка, связанная с распространением стилера White Snake под видом требований СК (рис. 3). К письмам, которые получала жертва, были приложены следующие архивы:
Требование CK от 08.08.23 ПАРОЛЬ — 123123123.zip;Требование CK от 07.08.23 ПАРОЛЬ — 12312312.zip.
Архивы все так же содержали документы (например, Требование CK от 07.08.23 ПАРОЛЬ — 12312312\ГCУ CK PФ запрос.docx) и исполняемый файл Перечень юридических лиц и физических лиц в рамках уклонения, сумы уклонения.exe.
Рис. 3. Содержимое одного из фишинговых документов
Сентябрь
1 сентября мы зафиксировали новую волну атак по заражению инфостилером White Snake. Атакующие решили хоть и на время, но отойти от пугающих тем, связанных с Роскомнадзором или Следственным комитетом РФ. На этот раз письма рассылались под видом коммерческого предложения. Потенциальной жертве приходило на почту фишинговое письмо с запароленным архивом, который мог иметь следующие варианты именований:
КП от 01.09.23 (Пароль к архиву — 121212).zip;КП от 01.09.23 (пароль к архиву — 121212).rar;КП 12119- тех.док.rar.
В рассылке от 6 сентября архив все так же содержал вредоносный исполняемый файл, замаскированный под приложение к документам. Однако 12 сентября этот файл доставлялся с расширением CMD:
C:\Windows\system32\cmd.exe /c ""C:\Users\admin\AppData\Local\Temp\Rar$DIa1872.39116\КП 12119- тех.док.cmd" "
Октябрь
В октябре группа Scaly Wolf решила продолжить распространять письма с запугивающим контентом. Так, начиная со 2 октября атакующие осуществляли фишинговые рассылки от лица Следственного комитета РФ. В письмах говорилось о расследовании уголовного дела, а среди тем встречались следующие:
- «Запроc в cвязи c раccледованием уголовного дела № 11091007706001194 cледcтвенный комитет РФ»;
- «Запроc в cвязи c раccледованием уголовного дела № 11091007706001194 cледcтвенный комитет Роccийcкой Федерации»;
- «Требование в рамках расследования уголовного дела № 11091007706011194 следственный комитет РФ»;
- «Запрос в рамках расследования уголовного дела N11091007706001194 ГУ сК Российской Федерации».
К письму был приложен PDF‑файл Запрос следователя (уклонение от уплаты налогов) — копия.pdf, предназначенный для отвлечения внимания жертвы (рис. 4). В нем было указано, что адресат должен явиться в Следственный комитет РФ на допрос в качестве свидетеля по делу о поддельных документах.
Вредоносный исполняемый файл (рис. 5), как и прежде, располагался совместно с безвредными документами в архиве.
Дополнением к этому файлу был архив Трeбoвaниe 19098 СК РФ от 07.09.23 ПАРОЛЬ — 123123123.zip со стилером White Snake под названиями:
Перечень юридических лиц и физических лиц в рамках уклонения, сумы уклонения.exe;Перечень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные материалы.exe.
Рис. 4. Вложения к одному из фишинговых писем
Рис. 5. Фишинговый документ
16 октября было обнаружено аналогичное письмо, также содержащее PDF‑файл и архив (рис. 6).
Рис. 6. Фишинговое письмо с вложениями
Ноябрь
Весь ноябрь мы продолжали выявлять новые вредоносные рассылки стилера White Snake. Так, 2 ноября группа начинает распространять письма с текстом, сообщающим потенциальной жертве о судебном постановлении. В этот раз злоумышленники решили не использовать архив и сразу прикрепили к письму исполняемый файл Постановление о производстве выемки и прилагаемые к запросу материалы.exe.
13 ноября атакующие вернулись к проверенному методу фишинга и социальной инженерии, а точнее, к рассылке писем под видом требования Следственного комитета РФ. Как и ранее, жертва получала защищенный паролем архив под названием Трeбoвaниe 19225 СК РФ от 31.10.2023 ПАРОЛЬ — 11223344.zip (рис. 7), который, в свою очередь, содержал документы и исполняемый файл Перечень юридических лиц и физических лиц в рамках уклонения, сумы уклонения.exe.
Рис. 7. Вложения к фишинговому письму
В этом же месяце, 20 ноября, нами было обнаружено новое письмо, распространяющее стилер White Snake под видом нормативных документов. На этот раз атакующие просили предоставить нормативные документы для контракта, приложенного к письму. А тем временем во вложении находился архив с исполняемым PE‑файлом внутри (рис. 8).
Рис. 8. Содержимое фишингового письма
Январь 2024
Сделав небольшой перерыв в декабре, в начале 2024 года группа вновь вернулась к распространению стилера White Snake. Но если ранее злоумышленники выдавали себя за Следственный комитет РФ и Роскомнадзор, то в новой кампании письма рассылались от имени Главной военной прокуратуры РФ. В данной кампании атакующими были использованы следующие темы:
- «Выемка в рaмкaх рaccледoвaния УД № 111801400013001322 Главная военная прокуратура РФ»;
- «Требoвaние в рaмкaх рaccледoвaния УД № 111801400013001322 ГВП РФ»;
- «Выемка в рaмкaх рaccледoвaния уг.дела № 111801400013001322 ГВП РФ».
К письму, как обычно, был приложен архив под именем Постановление о производстве выемки (ЄЦП) — пароль 1628.zip (рис. 9), который содержал документ Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.rtf и исполняемый файл Постановление о производстве выемки (электронная цифровая подпись).exe.
Рис. 9. Вложения к фишинговому письму
На сегодняшний день угроза со стороны различных киберпреступных группировок продолжает расти во всем мире, что справедливо и для российского сегмента. Тем временем доступность вредоносного ПО на даркнет‑рынке для покупателей любой квалификации лишь способствует пополнению рядов злоумышленников и увеличению количества совершаемых целевых атак. Scaly Wolf — одна из таких групп, которую уже более полугода отслеживает наша ĸиберразведĸа.
Продолжая почти беспрерывно распространять стилер White Snake, группировка начала представлять серьезную угрозу российскому бизнесу. Более того, то, что злоумышленники раз за разом рассылают письма под видом государственных служб, в особенности Следственного комитета РФ, свидетельствует о наличии рабочей схемы и успешности проводимых кампаний. Судя по уже совершенным атакам в январе 2024‑го, Scaly Wolf и дальше продолжит попытки компрометации российских компаний и, возможно, не покинет это поле еще достаточно долго.
135.181.98.45164.132.115.918.218.18.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
Больше информации, включая индикаторы компрометации, полное описание группировки с техниками, тактиками, процедурами и инструментами — на платформе BI.ZONE Threat Intelligence.
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
Рассылает фишинговые письма с вредоносными вложениями для получения первоначального доступа во время атак |
| Execution |
User Execution: Malicious File |
Жертве необходимо открыть вредоносный файл, чтобы инициировать процесс компрометации |
|
Command and Scripting Interpreter: Windows Command Shell |
Использует стилер White Snake, который применяет командную строку Windows для выполнения скриптов |
|
|
Native API |
Использует стилер White Snake, который применяет Windows API для перехвата нажатий клавиш, создания снимков экрана и расшифровывания пользовательских данных |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Использует стилер White Snake, который может создавать свои копии в автозагрузке |
|
Scheduled Task/Job: Scheduled Task |
Использует стилер White Snake, который создает задания в планировщике для закрепления в системе: |
|
| Defense Evasion |
Obfuscated Files or Information |
Использует стилер White Snake, который применяет шифрование строк и обфускацию имен методов |
|
File and Directory Permissions Modification: Windows File and Directory Permissions Modification |
Использует стилер White Snake, который устанавливает для исполняемого файла внутри папки |
|
|
Obfuscated Files or Information: Binary Padding |
Размер исполняемого файла White Snake — около 1 ГБ |
|
|
Indicator Removal: File Deletion |
Использует стилер White Snake, который удаляет себя после запуска и копирования тела в новое расположение |
|
|
Impersonation |
Рассылает фишинговые электронные письма под видом российских государственных служб |
|
|
Virtualization/Sandbox Evasion: System Checks |
Использует стилер White Snake, который осуществляет проверки скомпрометированной системы с целью идентификации виртуальной среды |
|
| Credential Access |
Credentials from Password Stores: Credentials from Web Browsers |
Использует стилер White Snake, который получает учетные данные из браузеров, подобных Chromium и Firefox, с помощью относительных путей, указанных в конфигурации |
|
Credentials from Password Stores: Windows Credential Manager |
Использует стилер White Snake, который может получать данные из внутреннего хранилища паролей Windows |
|
|
Input Capture: Keylogging |
Использует стилер White Snake, который способен инициализировать модуль кейлогера для перехвата нажатия клавиш пользователем |
|
|
Unsecured Credentials: Credentials In Files |
Использует стилер White Snake, который может получать доступ к любым файлам, в том числе содержащим аутентификационный материал |
|
|
Unsecured Credentials: Credentials in Registry |
Использует стилер White Snake, который может получать доступ к любым ключам реестра, указанным в конфигурации |
|
| Discovery |
File and Directory Discovery |
Собирает файлы из скомпрометированной системы с помощью определенной маски, указанной в конфигурации |
|
Process Discovery |
Использует стилер White Snake, который собирает информацию о скомпрометированной системе, в том числе получает список запущенных процессов для последующей отправки на управляющий сервер |
|
|
Query Registry |
Использует стилер White Snake, который для сбора данных может получать доступ к любым ключам реестра, указанным в конфигурации в XML‑формате |
|
|
Software Discovery |
Использует стилер White Snake, который собирает информацию об установленных в системе приложениях для последующей отправки на управляющий сервер |
|
|
System Information Discovery |
Собирает информацию о скомпрометированной системе, включая версию операционной системы, имя, производителя и модель устройства, название процессора и видеокарты |
|
|
System Location Discovery |
Использует стилер White Snake, который собирает информацию о скомпрометированной системе, в том числе о стране, с помощью запроса на http://ip-api.com/line?fields=query,country для последующей отправки на управляющий сервер |
|
|
System Network Configuration Discovery |
Использует стилер White Snake, который собирает информацию о скомпрометированной системе, в том числе об IP‑адресе, с помощью запроса на http://ip-api.com/line?fields=query,country для последующей отправки на управляющий сервер |
|
|
System Owner/User Discovery |
Использует стилер White Snake, который собирает информацию о скомпрометированной системе, в том числе об имени пользователя, для последующей отправки на управляющий сервер |
|
|
System Time Discovery |
Использует стилер White Snake, который получает информацию о текущем времени на устройстве |
|
| Lateral Movement |
Lateral Tool Transfer |
Использует стилер White Snake, который может создавать свои копии на внешних носителях |
| Collection |
Archive Collected Data |
Использует стилер White Snake, который шифрует данные с помощью RSA перед отправкой на сервер |
|
Audio Capture |
Использует стилер White Snake, который может задействовать микрофон для захвата звука |
|
|
Data from Local System |
Использует стилер White Snake, который может копировать файлы из скомпрометированной системы |
|
|
Screen Capture |
Использует стилер White Snake, который может делать снимки экрана, а также записывать с него видео |
|
|
Video Capture |
Использует стилер White Snake, который может записывать видео с помощью камеры |
|
| Command and Control |
Application Layer Protocol: Web Protocols |
Использует стилер White Snake, который применяет HTTP/HTTPS для передачи данных |
|
Data Encoding |
Использует стилер White Snake, который кодирует в Base64 созданные снимки экрана для отправки на управляющий сервер |
|
|
Encrypted Channel: Asymmetric Cryptography |
Использует стилер White Snake, который применяет RSA для шифрования передаваемых данных |
|
|
Ingress Tool Transfer |
Использует стилер White Snake, который загружает дополнительное ВПО в скомпрометированную систему |
|
|
Non-Standard Port |
Использует стилер White Snake, который инициализирует узел сети Tor на случайном порте от 2000 до 7000 |
|
|
Proxy: Multi-hop Proxy |
Использует стилер White Snake, который инициализирует узел сети Tor на случайном порте для передачи данных |
|
| Exfiltration |
Exfiltration Over C2 Channel |
Использует стилер White Snake, который передает собранные данные на командный сервер |
Фишинговые рассылки — один из популярных способов проникновения внутрь периметра организации. Защититься от них помогут сервисы для фильтрации нежелательных писем. Одно из таких решений — BI.ZONE CESP. К каждому электронному сообщению оно применяет более 600 механизмов фильтрации, используя статистический, сигнатурный и эвристический анализ, технологии машинного обучения. Такая проверка избавляет компанию от проблемы нежелательных писем, при этом не задерживая доставку легитимной почты.
Чтобы понимать, как именно атакуют инфраструктуры, похожие на вашу, и знать ландшафт киберугроз, мы рекомендуем использовать данные с платформы BI.ZONE Threat Intelligence. Решение предоставляет информацию об актуальных атаках, злоумышленниках, их методах и инструментах. Эти данные помогают обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее критичных для компании угроз.