SEO poisoning: обзор атаки Watch Wolf на бухгалтеров
Эксперты управления киберразведки BI.ZONE зафиксировали кампанию группы Watch Wolf, нацеленную на компрометацию рабочих станций бухгалтеров российских компаний с целью последующего вывода денежных средств через онлайн‑банкинг.
Хотя группа активна с ноября 2021 года, в рамках прошлых кампаний распространение вредоносного программного обеспечения осуществлялось через фишинговые рассылки.
В рамках текущей кампании, которая началась не ранее ноября 2022 года, злоумышленники изменили метод распространения и прибегли к отравлению поисковой выдачи (SEO poisoning). Данный метод реализуется через добавление на сайты, распространяющие ВПО, ключевых слов, позволяющих им попадать на первую страницу поисковой выдачи при определенных запросах. Кроме того, достичь цели злоумышленникам может помочь покупка контекстной рекламы.
Атакующие создали сайты, имитирующие ресурсы для бухгалтеров, с которых можно загрузить различные документы, после чего с помощью SEO poisoning и покупки рекламы вывели сайты на первую страницу поисковой выдачи (рис. 1).
После перехода на сайт жертве предлагается загрузить искомый документ в одном из популярных форматов, например Microsoft Excel (рис. 2).
После перехода по ссылке жертва загружает файл, но не тот, что указан в описании, а SFX‑архив, содержащий вредоносное программное обеспечение. При этом файл размещен не на самом сайте: вместо этого используется система размещения контента мессенджера Discord.
Запуск загруженного файла приводит к инсталляции бэкдора DarkWatchman. Данное ВПО представляет собой JS‑скрипт, который размещается в папке C:\Users\%имя_пользователя%\AppData\Local\
и запускается посредством wscript.exe
, например:
wscript.exe "C:\Users\user\AppData\Local\c784477d0.js" add_key
add_key
— ключ для расшифровывания тела JS‑скрипта.
Для достижения персистентности в скомпрометированной системе ВПО создает задачу в планировщике Windows, после чего при наличии необходимых прав удаляет теневые копии следующей командой:
vssadmin.exe Delete Shadows /All /Quiet
Бэкдор использует ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM
для хранения конфигурационной информации. В этот ключ в том числе записывается тело кейлогера, закодированное в Base64-строку. После старта бэкдор запускает кейлогер с помощью PowerShell-команды:
powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc QQBkAGQALQBUAHkAcABlACAALQBUAHkAcABlAEQAZQBmAGkAbgBpAHQAaQBvAG4AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsAdQBzAGkAbgBnACAATQBpAGMAcgBvAHMAbwBmAHQALgBXAGkAbgAzADIAOwB1AHMAaQBuAGcAIABTAHkAcwB0AGUAbQAuAEkAT<redacted>
Используя реестр и инструментарий управления Windows, бэкдор собирает информацию о версии операционной системы, имени компьютера и пользователя, часовом поясе и языке, а также информацию об инсталлированных антивирусных программах и отправляет собранные данные на командный сервер.
Бэкдор позволяет атакующим в том числе запускать исполняемые файлы, загружать библиотеки, выполнять сценарии через различные интерпретаторы, а также загружать файлы и обновлять как свой код, так и код кейлогера.
Бэкдор генерирует адрес сервера управления из фрагментов, имеющихся в коде. К 20 сгенерированным доменам прибавляются еще 100, которые генерируются на основе текущей даты в UTC следующего формата: Tue, 04 Apr 2023 13:21:56 GMT
. Дата используется для получения соли, которая конкатенируется с имеющейся в коде солью и порядковым номером генерируемого доменного имени. Например, Tue,04Apr20234d5e2eb0{i}
, где i — порядковый номер от 0 до 100. От каждого такого значения считается сумма CRC‑32, которая конвертируется в строку в HEX‑формате. Так получается 120 доменных имен. Далее к полученной строке добавляется домен верхнего уровня, обычно их 3 или 4.
Таким образом за одни сутки может быть сгенерировано от 360 до 480 адресов, которые потенциально могут оказаться серверами управления бэкдора. После того как сформирован массив потенциальных серверов управления, бэкдор начинает искать активный, отправляя в заголовке HTTP‑запроса UID жертвы, ожидая получить этот же UID в ответ.
Примечательно, что в ходе расследования инцидентов, связанных с атаками Watch Wolf, мы идентифицировали, что DarkWatchman использовался для доставки в скомпрометированные системы другого популярного ВПО — Buhtrap, а также дополнительных модулей, например VNC, который позволял злоумышленникам получить удаленный доступ к скомпрометированному компьютеру.
Говоря о Buhtrap, нужно отметить, что данный троян активен с 2014 года и также используется для осуществления целевых атак на бухгалтеров организаций различных вертикалей.
Ущерб от подобных атак зависит от величины организации, а также величины средств, которые злоумышленники могут перевести на подконтрольные счета. При этом в некоторых случаях атакующим удавалось выводить несколько десятков миллионов рублей, а ущерб за все время работы группы может достигать 7 миллиардов рублей.
Если повышение осведомленности сотрудников помогает бороться с фишингом, то с SEO poisoning такая просветительская деятельность пока не работает. Зато эффективность доказали специализированные сервисы для защиты DNS‑трафика. BI.ZONE Secure DNS анализирует каждое обращение пользователя во внешнюю сеть, используя платформу BI.ZONE Threat Intelligence. Запрос автоматически проверяется на легитимность с помощью черных и белых списков. Если он проходит проверку, пользователь попадает на запрошенный ресурс. В противном случае запрос блокируется. Выявлять нелегитимные обращения помогут не только превентивные средства, но и центр мониторинга кибербезопасности BI.ZONE TDR.