Введение

В июле 2021 года была запущена кампания, нацеленная в первую очередь на российские государственные учреждения и промышленные предприятия. Вскоре после запуска мы начали отслеживать эту кампанию и в августе и сентябре 2024 года выпустили три отчета в рамках подписки на исследования угроз об акторе, которого мы назвали Awaken Likho (в исследованиях других вендоров эта угроза также известна как Core Werewolf).

В процессе исследования активности этой APT-группы мы обнаружили новую кампанию, которая началась в июне 2024 года и продолжалась как минимум до августа. Анализ кампании показал, что атакующие существенно изменили ПО в своих атаках. Теперь злоумышленники предпочитают использовать агент для легитимной платформы MeshCentral вместо модуля UltraVNC, при помощи которого атакующие получали удаленный доступ к системе ранее. При этом группу по-прежнему интересуют государственные организации и предприятия, расположенные в России.

Технические детали

В ходе исследования мы обнаружили при помощи наших Yara-правил новый имплант, который не видели прежде в арсенале этой группы злоумышленников. На основании нашей телеметрии мы пришли к выводу, что имплант загружался на устройства жертв с вредоносного URL, который предположительно попадал к пользователям через фишинговые письма. Операторы Awaken Likho обычно используют поисковые движки, чтобы получить как можно больше информации о жертве и подготовить наиболее правдоподобные сообщения. Нам не удалось получить оригинальные фишинговые письма, с помощью которых распространялся этот имплант, однако во вложениях к письмам из предыдущих кампаний содержались самораспаковывающиеся архивы (SFX) и ссылки на вредоносные модули. Кроме того, в прошлых атаках для доставки зловреда использовались Golang-дропперы, чего мы не обнаружили в этой активности, но главное отличие исследуемого импланта заключается в новом методе получения и удержания контроля над зараженной машиной. На протяжении нескольких лет мы отмечали использование модуля UltraVNC для получения удаленного доступа к системе, однако в этой кампании атакующие применили ПО MeshAgent — агент для системы MeshCentral. Согласно официальному сайту MeshCentral, это решение для удаленного управления устройствами с открытым исходным кодом и широкой функциональностью.

Мы обнаружили импланты нового типа в сентябре 2024 года, и, по данным нашей телеметрии, атакующие начали применять это ПО в августе 2024 года. Далее мы подробно проанализируем такой имплант.

MD5
603eead3a4dd56a796ea26b1e507a1a3

SHA1
56d6ef744adbc484b15697b320fd69c5c0264f89

SHA256
7491991dd42dabb123b46e33850a89bed0a2790f892d16a592e787d3fee8c0d5

Дата и время сборки
Mon Dec 31 03:38:51 2012 (не соответствует фактической дате сборки импланта)

Компилятор
MSVC/C++, Packer: UPX(3.07),[LZMA]

Размер файла
1 887 698 bytes

Тип файла
PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed, 3 sections

Распаковка архива

Как и в прошлых кампаниях, имплант упакован при помощи UPX и распространяется в самораспаковывающемся архиве, который создан при помощи 7-Zip, что следует из его метаданных. Для продолжения анализа нам необходимо его распаковать.

Метаданные импланта

Архив содержит пять файлов, четыре из которых замаскированы под легитимные системные службы и командные файлы.

Содержимое архива импланта

Оставшийся CMD-файл (последний на скриншоте выше) имеет неописательное имя, сгенерированное случайным образом. В предыдущих имплантах, которые мы анализировали, большинство файлов именовались исключительно таким образом, кроме того, часть файлов не содержала полезную нагрузку и добавлялась в архив для усыпления бдительности пользователя. Мы проанализируем все файлы из архива, но сначала откроем его в режиме «#». Это специальный режим 7-Zip для анализа файлов (parser mode), с помощью которого можно получить дополнительную информацию об архиве, в том числе установочный скрипт.

Открытие архива в режиме «#» из контекстного меню архиватора

Содержимое архива, открытого в режиме «#»

Чтобы определить, как именно имплант закрепляется в системе, извлечем из архива установочный скрипт под названием «2».

Установочный скрипт SFX-архива

Как видно из кода скрипта, SFX-модуль извлекает все компоненты архива во временную директорию и запускает

MicrosoftStores.exe без параметров.

AutoIt-скрипт

Следующий шаг этой атаки — выполнение

MicrosoftStores.exe. Этот образец также упакован при помощи UPX.

MD5
deae4a955e1c38aae41bec5e5098f96f

SHA1
a45d8d99b6bc53fa392a9dc374c4153a62a11e2a

SHA256
f11423a3c0f3f30d718b45f2dcab394cb8bdcd473c47a56544e706b9780f1495

Дата и время сборки
Fri Dec 23 13:59:31 2011 (не соответствует времени атаки)

Компилятор
MSVC/C++, Packer: UPX(3.08),[NRV]

Размер файла
584 839 bytes

Тип файла
PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed, 3 sections

Известные имена файла
MicrosoftStores.exe

Распаковав файл, мы видим, что он содержит скомпилированный AutoIt-скрипт с интерпретатором — об этом говорит блок данных в коде файла, начинающийся на

AU3!. Наличие скрипта объясняет, почему после извлечения из архива файл запускался без параметров.

Мы смогли извлечь декомпилированный AutoIt-скрипт, который был обфусцирован.

Извлеченный AutoIt-скрипт

MD5
892c55202ce3beb1c82183c1ad81c7a0

SHA1
976b5bc7aafc32450f0b59126f50855074805f28

SHA256
f3421e5392e3fce07476b3c34153a7db0f6c8f873bd8887373f7821bd0281dcc

Интерпретатор
AutoIt

Размер файла
624 bytes

Тип файла
File utility: ASCII text, with CRLF line terminators

Деобфусцировав его вручную, мы смогли определить назначение скрипта: он запускает файлы

NetworkDrivers.exe и nKka9a82kjn8KJHA9.cmd с заданными параметрами для закрепления в системе.

Содержимое AutoIt-скрипта после деобфускации

Полезная нагрузка

NetworkDrivers.exe

Теперь изучим первый исполняемый файл, который запускается скриптом, —

NetworkDrivers.exe.

MD5
63302bc6c9aebe8f0cdafdd2ecc2198a

SHA1
f4e2c56e1e5e73aa356a68da0ae986103c9a7bad

SHA256
37895c19d608aba8223e7aa289267faea735c8ee13676780a1a0247ad371b9b8

Время сборки
Fri Dec 09 23:13:19 2022

Компилятор
MSVC/C++

Размер файла
3 843 579 bytes

Тип файла
PE32 executable (console) Intel 80386, for MS Windows, 6 sections

Известные имена файла
NetworkDrivers.exe

Этот образец детектируется нашими продуктами с вердиктом not-a-virus:HEUR:RemoteAdmin.Win32.MeshAgent.gen. Действительно, это MeshAgent — агент для легитимной платформы MeshCentral, которую атакующие стали использовать вместо UltraVNC.

nKka9a82kjn8KJHA9.cmd

Далее AutoIt-скрипт запускает командный файл

nKka9a82kjn8KJHA9.cmd с заданными параметрами.

MD5
912ebcf7da25c56e0a2bd0dfb0c9adff

SHA1
a76601fc29c523a3039ed9e7a1fc679b963db617

SHA256
c31faf696c44e6b1aeab4624e5330dc748633e2d8a25d624fc66fed384797f69

Дата и время создания
06/08/2024 11:08 AM

Интерпретатор
cmd.exe

Размер файла
1 158 708 bytes

Тип файла
DOS batch file, ASCII text, with very long lines (1076)

Известные имена файлов
nKka9a82kjn8KJHA9.cmd

Важно отметить, что этот скрипт имеет нетипично большой размер: более 1 МБ. Причина проста — он сильно обфусцирован.

Часть обфусцированного содержимого файла nKka9a82kjn8KJHA9.cmd

Несмотря на значительный объем кода, принцип обфускации довольно прост: злоумышленники используют вставки текста-заполнителя большого размера. Во время выполнения скрипта интерпретатор пропускает бессмысленный текст благодаря использованию меток с оператором

GOTO.

Нам удалось легко деобфусцировать этот файл.

Файл nKka9a82kjn8KJHA9.cmd после ручной деобфускации

Цель этого командного файла — создание задачи планировщика под названием

MicrosoftEdgeUpdateTaskMachineMS. Она выполняет скрипт EdgeBrowser.cmd из распакованного архива и удаляет определенные файлы, связанные с вредоносной активностью, например исполняемый файл первого этапа атаки MicrosoftStores.exe. Это позволяет затруднить обнаружение злоумышленников.

EdgeBrowser.cmd

Командный файл предыдущего этапа создает задачу для запуска скрипта

EdgeBrowser.cmd.

MD5
c495321edebe32ce6731f7382e474a0e

SHA1
bcd91cad490d0555853f289f084033062fa1ffaa

SHA256
82415a52885b2731214ebd5b33ceef379208478baeb2a09bc985c9ce8c62e003

Дата и время создания
01/08/2024 9:49 AM

Интерпретатор
cmd.exe

Размер файла
402 bytes

Тип файла
DOS batch file, ASCII text, with CRLF line terminators

Известные имена файла
EdgeBrowser.cmd

Командный файл EdgeBrowser.cmd

Этот скрипт запускает файл

NetworkDrivers.exe (агент MeshAgent) при помощи PowerShell для взаимодействия с C2.

Таким образом, вышеописанные действия позволяют APT закрепиться в системе: атакующие создают задачу планировщика, запускающую командный файл, который, в свою очередь, запускает MeshAgent для установки соединения с сервером MeshCentral.

NetworkDrivers.msh

В архиве содержится еще один файл под названием

NetworkDrivers.msh. Это файл конфигурации MeshAgent, позволяющий настроить агент. Его содержимое мы также нашли в коде исполняемого файла NetworkDrivers.exe.

Содержимое файла настроек MeshAgent

В этом файле указаны параметры агента для установки соединения с сервером MeshCentral: MeshName, MeshID, ServerID и адрес C2 с соединением по протоколу WebSocket. При открытии этого адреса через HTTPS открывается следующее окно — это форма входа на платформу MeshCentral.

Интерфейс входа на платформу MeshCentral

Это подтверждает, что атакующие использовали легитимную систему MeshCentral для взаимодействия с C2-сервером.

Жертвы

Главными жертвами описанной атаки стали государственные учреждения в России, их подрядчики и промышленные предприятия.

Атрибуция

Основываясь на используемых TTP и информации о жертвах, мы относим эту кампанию с высокой степенью уверенности к APT Awaken Likho.

Выводы

Awaken Likho — одна из групп злоумышленников, которые нарастили темпы активности после начала российско-украинского конфликта. В последнее время ее методы существенно поменялись: например, группа начала использовать MeshCentral вместо UltraVNC. APT до сих пор активна: мы видели свежие импланты, датированные августом 2024 года. Стоит отметить, что исследуемый в этой статье имплант не содержит файлов без полезной нагрузки, которые мы наблюдали в предыдущих образцах. Очевидно, что это новая версия зловреда, которая по-прежнему находится в процессе разработки. Полагаем, что увидим новые атаки от операторов Awaken Likho.

Мы убеждены, что группе до сих пор удается атаковать выбранные цели, проникая в их инфраструктуру. Для защиты организаций от подобных атак необходимо комплексное решение, обеспечивающее непрерывную защиту корпоративных ресурсов даже в условиях меняющихся угроз.

Индикаторы компрометации

603eead3a4dd56a796ea26b1e507a1a3
deae4a955e1c38aae41bec5e5098f96f
892c55202ce3beb1c82183c1ad81c7a0
63302bc6c9aebe8f0cdafdd2ecc2198a
912ebcf7da25c56e0a2bd0dfb0c9adff
c495321edebe32ce6731f7382e474a0e

Домен
kwazindernuren[.]com

IP-адрес
38.180.101[.]12

Имя вредоносной задачи
MicrosoftEdgeUpdateTaskMachineMS

​  

​Securelist

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x