Venture Wolf использует MetaStealer в атаках на российские компании
Специалисты BI.ZONE Threat Intelligence обнаружили ранее неизвестный кластер, который активен как минимум с ноября 2023 года. Мы отслеживаем этот кластер под именем Venture Wolf. Злоумышленники используют различные загрузчики, чтобы доставлять в целевые системы MetaStealer. Venture Wolf нацелена на промышленность, строительство, IT, телеком и другие отрасли.
- Стилеры остаются одним из наиболее популярных типов ВПО, распространяемого злоумышленниками.
- Отсутствие ограничений на использование некоторых образцов ВПО, распространяющихся на теневых ресурсах, для атак на российские организации приводит к его широкому применению различными кластерами активности.
- Полученный аутентификационный материал может впоследствии использоваться для реализации более сложных целевых атак на скомпрометированные организации.
Venture Wolf распространяет архивы, содержащие загрузчик с расширением .com
(реже .exe
), а также один или несколько фишинговых документов. После запуска загрузчик либо создает dummy-файл .NET, в который внедряется вредоносная нагрузка, либо внедряет ее в процесс RegAsm.exe
.
В качестве фишинговых документов злоумышленниками используются как изображения, например JPG или PNG, так и файлы PDF, DOC/DOCX и ODT.
Данные компании.pdf
Карточка с реквизитами.jpg
Карточка ИП.png
Загрузчики являются исполняемыми файлами формата PE (Portable Executable). Их код обфусцирован, имена WinAPI-функций, использующихся для внедрения вредоносного кода, зашифрованы. Вредоносная нагрузка и dummy-файл .NET, в зависимости от типа загрузчика, содержатся в его теле и зашифрованы алгоритмом RC4. В большинстве случаев внедрение вредоносной нагрузки происходит в приостановленный процесс запущенного dummy-файла .NET. Стоит отметить, что встречаются загрузчики, которые не содержат dummy-файл и внедряют вредоносную нагрузку в процесс RegAsm.exe
.
В зависимости от типа загрузчика, осуществляется расшифровка и создание dummy-файла .NET со случайным именем в каталоге %TEMP%
. Имя формируется случайным образом из заданной в загрузчике строки алфавита, поэтому имя dummy-файла .NET может содержать китайские иероглифы. Отметим, что dummy-файл .NET не содержит какого-либо кода в функции Main
.
Расшифровываются имена WinAPI-функций, использующихся для внедрения кода в запущенный процесс, а именно: CreateProcessW
, VirtualAllocEx
, WriteProcessMemory
, Wow64SetThreadContext
/SetThreadContext
, ResumeThread
.
Расшифровывается и внедряется в процесс вредоносная нагрузка — MetaStealer.
Внедрение кода вредоносной нагрузки осуществляется следующим образом:
CreateProcessW
сdwCreationFlags
=0×00000004
(CREATE_SUSPENDED
) — создание процесса в приостановленном режиме либо dummy-файла .NET, либоRegAsm.exe
;VirtualAllocEx
— выделение памяти в приостановленном процессе;WriteProcessMemory
— запись в выделенную память вредоносной нагрузки;Wow64SetThreadContext
/SetThreadContext
— изменение контекста потока для установки точки входа выполнения кода внедренной вредоносной нагрузки;ResumeThread
— возобновление работы приостановленного процесса (передача управления вредоносной нагрузке).
Также обнаружены загрузчики с именами секций, характерных для различных протекторов: Enigma (.enigma1
, .enigma2
), VMProtect (.vmp0
, .vmp1
), Themida (.themida
).
Однако такие загрузчики не защищены ни одним из перечисленных протекторов. Подобная техника может использоваться для запутывания вердикта сигнатурных средств анализа и/или движков антивирусного ПО.
В качестве вредоносной нагрузки злоумышленниками использовался MetaStealer. ВПО реализовано на C# и является форком другого стилера — RedLine. Важное отличие MetaStealer от RedLine заключается в том, что разработчики MetaStealer не запрещают применять его для реализации атак на Россию и страны СНГ.
В процессе выполнения MetaStealer осуществляет следующие действия:
- сбор информации о системе, включая версию ОС, информацию об оборудовании (диске, процессоре, видеоконтроллере);
- получение данных из обширного списка браузеров: Edge, Chromium, Google Chrome, Opera, CentBrowser, Chedot, Vivaldi, Kometa, Yandex Browser, Sputnik, Mozilla Firefox и др.;
- получение данных криптокошельков: Electrum Bitcoin Wallet, Exodus Crypto Wallet, BTC, Electron и др.;
- получение данных из клиентов электронной почты, таких как Mozilla Thunderbird;
- получение данных из различных приложений, таких как Steam и FileZilla.
Также стоит отметить, что Venture Wolf для обфускации кода MetaStealer использует протектор .NET Reactor.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.233.255[.]122:2314
147.45.47[.]185:41702
147.45.47[.]153:3605
147.45.47[.]83:7622
77.91.68[.]6:2314
Тактика | Техника | Процедура |
---|---|---|
Resource Development |
Obtain Capabilities: Malware |
Venture Wolf использует MetaStealer, продающийся на теневых ресурсах |
Execution |
User Execution: Malicious File |
Venture Wolf использует архивы ZIP и RAR, содержащие исполняемый файл лоадера с расширением |
Defense Evasion |
Deobfuscate/Decode Files or Information |
Venture Wolf использует лоадер, в котором расшифровываются dummy-файл .NET (не содержит код в функции |
Obfuscated Files or Information |
Venture Wolf использует протектор .NET Reactor для обфускации MetaStealer |
|
Obfuscated Files or Information: Dynamic API Resolution |
Venture Wolf использует лоадер, в котором зашифрованы имена WinAPI-функций, применяющихся для внедрения вредоносного кода в другой процесс |
|
Obfuscated Files or Information: Stripped Payloads |
Venture Wolf использует MetaStealer, в котором строки, названия классов, методов и переменных обфусцированы. В некоторых версиях используется обфускация вызываемых методов с помощью делегатов |
|
Obfuscated Files or Information: Encrypted/Encoded File |
Venture Wolf использует лоадер, содержащий зашифрованные алгоритмом RC4 dummy-файл .NET и полезную нагрузку |
|
Process Injection: Portable Executable Injection |
Venture Wolf использует лоадер для внедрения MetaStealer в память процесса запущенного dummy-файла .NET (создается лоадером). Venture Wolf использует лоадер для внедрения MetaStealer в память процесса |
|
Virtualization/Sandbox Evasion: Time Based Evasion |
Venture Wolf использует MetaStealer, в котором осуществляется проверка локального времени созданного первого события системного журнала событий, а также проверка времени выполнения кода |
|
Credential Access |
Credentials from Password Stores: Credentials from Web Browsers |
Venture Wolf использует MetaStealer для кражи данных из различных браузеров |
Steal Application Access Token |
Venture Wolf использует MetaStealer, который может получать токены приложения Discord |
|
Steal Web Session Cookie |
Venture Wolf использует MetaStealer для сбора cookie из Chromium- и Firefox-подобных браузеров |
|
Unsecured Credentials: Credentials In Files |
Venture Wolf использует MetaStealer, который может получать доступ к файлам, содержащим аутентификационные данные |
|
Discovery |
Browser Information Discovery |
Venture Wolf использует MetaStealer для получения файлов различных браузеров |
File and Directory Discovery |
Venture Wolf использует MetaStealer для сбора информации о файлах и каталогах, указанных в конфигурации, полученной от управляющего сервера |
|
Process Discovery |
Venture Wolf использует MetaStealer для получения списка запущенных процессов на скомпрометированном хосте |
|
Query Registry |
Venture Wolf использует MetaStealer, который обращается к ключам реестра ОС для получения версии ОС Windows, информации об установленных приложениях и браузерах |
|
Software Discovery |
Venture Wolf использует MetaStealer для получения информации об установленных приложениях на скомпрометированном хосте |
|
Software Discovery: Security Software Discovery |
Venture Wolf использует MetaStealer, который с помощью WMI‑запросов проверяет наличие антивирусного ПО на скомпрометированном хосте |
|
System Information Discovery |
Venture Wolf использует MetaStealer для сбора информации о системе, включая версию ОС, информацию об оборудовании (диске, процессоре, видеоконтроллере) |
|
System Location Discovery |
Venture Wolf использует MetaStealer для получения внешнего IP‑адреса скомпрометированного хоста с помощью запроса к сетевому ресурсу: |
|
System Location Discovery: System Language Discovery |
Venture Wolf использует MetaStealer для получения информации о языковых настройках скомпрометированного хоста |
|
Collection |
Data from Local System |
Venture Wolf использует MetaStealer для сбора данных из различных приложений, включая мессенджеры (Telegram, Discord), VPN (OpenVPN, NordVPN, Proton VPN), криптокошельки, Steam, Battle.net, Thunderbird, FileZilla |
Screen Capture |
Venture Wolf использует MetaStealer для получения снимков экрана рабочего стола и их отправки на управляющий сервер |
|
Command and Control |
Non-Application Layer Protocol |
Venture Wolf использует MetaStealer, в котором с помощью класса |
Non-Standard Port |
Venture Wolf для взаимодействия с управляющим сервером использует MetaStealer с сетевыми портами: 2314, 3605, 7622, 41702 |
|
Exfiltration |
Automated Exfiltration |
Venture Wolf использует MetaStealer для автоматической эксфильтрации собранных данных со скомпрометированного хоста |
Exfiltration Over C2 Channel |
Venture Wolf использует MetaStealer для эксфильтрации собранных данных со скомпрометированного хоста на управляющий сервер |
Рассматриваемая вредоносная активность обнаруживается следующими правилами BI.ZONE EDR:
win_unsigned_file_with_com_extension_was_executed
win_discovery_system_information
win_possible_browser_stealer_activity
win_suspicious_access_to_software_sensitive_files
gen_ti_wolfs_network_ioc_was_detected
gen_ti_wolfs_hash_was_detected
Фишинговые рассылки — популярный способ проникновения в периметр организации. Защититься от них помогут сервисы для фильтрации нежелательных писем. Одно из таких решений — BI.ZONE CESP. К каждому электронному сообщению оно применяет более 600 механизмов фильтрации, используя технологии машинного обучения и разные виды анализа: статистический, сигнатурный, эвристический. Такая проверка избавляет компанию от проблемы нежелательных писем, при этом не задерживая доставку легитимной почты.
Чтобы быть на шаг впереди злоумышленников, нужно понимать, как меняются их методы и инструменты, и учитывать эту информацию при оценке ландшафта киберугроз. Для этого мы рекомендуем использовать данные портала BI.ZONE Threat Intelligence. Он предоставляет подробную информацию об актуальных атаках, злоумышленниках, тактиках, техниках и инструментах. Эти данные помогают обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее серьезных для компании угроз.