Стилер White Snake распространяется под видом требований Роскомнадзора
Стилеры играют важную роль в современном ландшафте угроз и являются одним из популярнейших способов получения легитимных аутентификационных данных для первоначального доступа к корпоративным сетям. В феврале 2023 года в теневом сегменте интернета впервые засветился стилер White Snake. Он активно рекламируется как средство для реализации целевых атак и позволяет злоумышленникам получить сохраненные пароли, а также копировать файлы, записывать нажатия клавиш и получать удаленный доступ к скомпрометированному устройству.
Специалисты управления киберразведки BI.ZONE обнаружили кампанию по распространению White Snake, нацеленную на российские организации. Стилер распространяется через фишинговые письма под видом требований Роскомнадзора.
- Успешная реализация атаки с использованием стилера может позволить злоумышленникам получить доступ сразу к нескольким корпоративным ресурсам, например электронной почте и CRM.
- Возможность аренды или покупки такого класса ВПО позволяет значительно снизить уровень квалификации, необходимый злоумышленникам для реализации целевых атак.
- Ущерб от успешной реализации подобной атаки может наступить не сразу: часто злоумышленники перепродают данные, собранные стилерами.
В рамках кампании жертва получала фишинговое письмо, к которому был прикреплен архив с несколькими файлами:
Требование РОСКОМНАДЗОР № 02‑12143.odt,Приложение к требованию РОСКОМНАДЗОРА о предоставлении пояснений, по факту выявления данных в ходе мониторинга и нанализа списки запрещенн интернет ресурсов, айпи адресов.exe,РОСКОМНАДЗОР.png.
Первый файл (рис. 1) представляет собой фишинговый документ, цель которого — отвлечь внимание жертвы и убедить в безопасности второго файла, который представляет собой стилер White Snake.
Рис. 1. Текст фишингового документа
Стилер White Snake появился на популярных теневых форумах в феврале 2023 года и позиционировался как инструмент, предназначенный для реализации целевых атак (рис. 2).
Рис. 2. Тема на популярном теневом форуме, посвященная White Snake
Помимо теневых форумов, стилер также имеет свой канал в мессенджере Telegram (рис. 3), который позволяет следить за его обновлениями.
Рис. 3. Сообщение из канала White Snake в Telegram
Арендовать стилер можно всего за 140 $ в месяц или купить неограниченный доступ за 1950 $. Заплатить за аренду можно в одной из криптовалют (рис. 4).
Рис. 4. Цены на аренду стилера White Snake
После оплаты клиент получает билдер для создания экземпляров ВПО и доступ к панели управления скомпрометированными устройствами.
Билдер (рис. 5) позволяет сконфигурировать генерируемый образец стилера — например, добавить токен Telegram для сохранения полученных данных, выбрать метод шифрования данных, набор извлекаемых данных, иконку исполняемого файла и т. п.
Рис. 5. Билдер White Snake
Панель управления (рис. 6) позволяет отслеживать скомпрометированные устройства, а также взаимодействовать с ними и выполнять команды. Кроме того, панель управления позволяет получить доступ ко всем данным, собранным с помощью стилера.
Рис. 6. Панель управления White Snake
Запуск исполняемого файла из архива приводит к реализации следующих действий:
- Создает мьютекс (согласно конфигурации).
- При наличии соответствующего флага проверяет, что запуск происходит не в виртуальном пространстве.
- При наличии соответствующего флага копирует все файлы в папку
C:\Users\[user]\AppData\Roaming\[config_folder_name], а затем выполняет приведенную ниже команду в зависимости от привилегий пользователя. Если пользователь является администратором, то команда будет выполняться с правамиHIGHEST, иначе — с правамиLIMITED./C chcp 65001 && ping 127.0.0.1 && schtasks /create /tn "[имя задания]" /sc MINUTE /tr "[путь к файлу в созданной папке]" /rl [права для запуска] /f && DEL /F /S /Q /A "[путь к файлу по предыдущему пути]" && START "" "[путь к файлу в созданной папке]" - Инициализирует узел сети Tor на случайном порте от 2000 до 7000.
- Инициализирует модуль для получения данных пользователя и отправки их на сервер.
- При наличии соответствующего флага создает свои копии на внешних носителях и в автозагрузке (
C:\Users\[user]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) для других пользователей системы. - При наличии соответствующего флага инициализирует модуль кейлогера.
При отправке данных на управляющий сервер собирает следующую информацию о системе:
- страна и IP (с помощью запроса на
http://ip-api.com/line?fields=query,country); - версия операционной системы;
- имя пользователя;
- имя устройства;
- размер экрана;
- название процессора;
- название видеокарты;
- размеры жестких дисков;
- суммарный размер физической памяти;
- производитель устройства;
- модель устройства;
- снимок экрана, закодированный в Base64;
- список запущенных процессов;
- установленные приложения.
Конфигурация для получения пользовательских данных содержится в файле в формате XML и содержит следующие типы данных:
- относительные пути к Chromium‑подобным браузерам;
- относительные пути к Firefox‑подобным браузерам;
- маски собираемых файлов;
- разделы реестра, из которых необходимо извлечь данные.
Так как стилер может закрепляться в скомпрометированной системе, атакующие могут получить персистентный доступ к ней, записывать видео с экрана, выполнять команды и загружать дополнительное ВПО.
Теневой сегмент интернета предлагает все более качественные инструменты для реализации целевых атак, которые не только позволяют обойти традиционные средства защиты, но и предоставляют злоумышленникам все необходимые инструменты для достижения цели. Низкая цена и легкость в эксплуатации подобного ВПО влекут за собой неизбежное увеличение числа целевых атак. Для эффективной защиты от таких угроз просто внедренных средств защиты информации недостаточно, необходимо также своевременно реагировать на инциденты и расследовать их.
- Отслеживайте сетевые коммуникации с
ip-api.comот нетипичных процессов. - Обращайте внимание на создание подозрительных заданий в планировщике и добавление исполняемых файлов в автозагрузку.
- Осуществляйте мониторинг создания исполняемых файлов в подпапках
C:\Users\[user]\AppData\Roaming.
rule WhiteSnake {
meta:
author = "BI.ZONE CTI"
date = "13/07/2023"
strings:
$xml_struct1 = "filename"
$xml_struct2 = "filedata"
$xml_struct3 = "filesize"
$xml_struct4 = "createdDate"
$xml_struct5 = "modifiedDate"
$xml_struct6 = "commands"
$xml_struct7 = "name"
$xml_struct8 = "args"
$xml_struct9 = "Commands"
$xml_struct10 = "report"
$xml_struct11 = "files"
$xml_struct12 = "information"
$xml_struct13 = "key"
$xml_struct14 = "value"
condition:
all of ($xml_struct*)
}
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
White Snake использует вредоносные вложения для получения первоначального доступа |
| Execution |
User Execution: Malicious File |
Жертве необходимо открыть вредоносный файл, чтобы инициировать процесс компрометации |
|
Command and Scripting Interpreter: Windows Command Shell |
White Snake использует командную строку Windows для выполнения скриптов |
|
|
Native API |
White Snake использует Windows API для перехвата нажатий клавиш, создания снимков экрана и расшифровывания пользовательских данных |
|
| Persistence |
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
White Snake может создавать свои копии в |
|
Scheduled Task/Job: Scheduled Task |
White Snake создает задания в планировщике для закрепления в скомпрометированной системе |
|
| Defense Evasion |
Obfuscated Files or Information |
White Snake использует шифрование строк и обфускацию имен методов |
|
File and Directory Permissions Modification: Windows File and Directory Permissions Modification |
Устанавливает для исполняемого файла внутри папки |
|
|
Obfuscated Files or Information: Binary Padding |
Размер исполняемого файла White Snake — около 1 ГБ |
|
|
Indicator Removal: File Deletion |
White Snake удаляет себя после запуска и копирования тела в новое расположение |
|
|
Virtualization/Sandbox Evasion: System Checks |
White Snake осуществляет проверки скомпрометированной системы с целью идентификации виртуальной среды |
|
| Credential Access |
Credentials from Password Stores: Credentials from Web Browsers |
White Snake получает учетные данные из Chromium- и Firefox-подобных браузеров |
|
Credentials from Password Stores: Windows Credential Manager |
White Snake может получать данные из внутреннего хранилища паролей Windows |
|
|
Input Capture: Keylogging |
White Snake может перехватывать нажатия клавиш пользователем |
|
|
Unsecured Credentials: Credentials In Files |
White Snake может получать доступ к любым файлам, в том числе содержащим аутентификационный материал |
|
|
Unsecured Credentials: Credentials in Registry |
White Snake может получать доступ к любым ключам реестра, указанным в конфигурации |
|
| Discovery |
System Information Discovery |
White Snake собирает информацию о скомпрометированной системе, в том числе об имени пользователя и компьютере |
|
Software Discovery |
White Snake собирает информацию об установленных в системе приложениях |
|
|
System Time Discovery |
White Snake получает информацию о текущем времени на устройстве |
|
| Collection |
Archive Collected Data |
White Snake шифрует данные с помощью RSA перед отправкой на сервер |
|
Audio Capture |
White Snake может использовать микрофон для захвата звука |
|
|
Data from Local System |
White Snake может копировать файлы из скомпрометированной системы |
|
|
Screen Capture |
White Snake может делать снимки экрана |
|
|
Video Capture |
White Snake может записывать видео с помощью камеры |
|
| Command and Control |
Application Layer Protocol: Web Protocols |
White Snake использует HTTP/HTTPS для передачи данных |
|
Encrypted Channel: Asymmetric Cryptography |
White Snake использует RSA для шифрования передаваемых данных |
|
|
Proxy: Multi-hop Proxy |
White Snake использует Tor для передачи данных |
|
| Exfiltration |
Exfiltration Over C2 Channel |
White Snake передает собранные данные на командный сервер |
5f1136c386c7fc99395b608d8db8f8cab0c0f23356f6d33730d352b12b43c234
e786b4bb8a7eed06d42e37f62434d911c34c572a58a92aaf1171cbb84f864cdd
hxxp://167.86.115[.]218:9090
hxxp://185.189.159[.]121:8001
Больше индикаторов компрометации доступно клиентам BI.ZONE Threat Intelligence.