Исследуя атаки на российские организации, наша команда регулярно сталкивается с тем, что у различных группировок могут пересекаться тактики, техники, процедуры (TTP), а иногда и инструментарий. Недавно мы обнаружили одно такое пересечение: схожие инструменты и тактики двух хактивистских группировок — BlackJack и Twelve, которые, вероятно, относятся к единому кластеру активности.

В этом исследовании мы предоставим информацию об актуальных процедурах, легитимных инструментах и вредоносном ПО, которые использует группировка BlackJack, и продемонстрируем их сходство с артефактами, связанными с атаками Twelve. Также мы проанализируем еще одну недавно обнаруженную активность, которая имеет много общего с деятельностью потенциального кластера.

Кто такие BlackJack?

BlackJack — это хактивистская группировка, заявившая о себе в конце 2023 года и нацеленная на компании, расположенные на территории России. В своем Telegram-канале группировка заявляет, что занимается поиском уязвимостей в сетях российских организаций и госучреждений.

По состоянию на июнь 2024 года хактивисты BlackJack публично взяли на себя ответственность за более чем десяток атак. При этом в нашей телеметрии есть информация и о других, непубличных атаках, индикаторы которых позволяют предполагать, что за ними стоит BlackJack.

Группировка использует только свободно распространяемое ПО и ПО с открытым исходным кодом, будь то SSH-клиент PuTTY или вайпер Shamoon, код которого уже несколько лет доступен на GitHub. Это еще раз подтверждает, что группировка является хактивистской и не обладает ресурсами, характерными для крупных APT-группировок.

Вредоносное ПО и легитимные инструменты в атаках BlackJack

Вайпер — Shamoon

Группировка BlackJack использует в атаках вайпер, который представляет собой версию Shamoon, написанную на Go. Благодаря статическому анализу нам удалось извлечь следующие характерные строки:

Строки из вайпера

В ходе исследований мы находили образцы Shamoon по следующим путям:

Sysvoldomainscripts
\[DOMAIN]netlogon
C:ProgramData

Шифровальщик — LockBit

Помимо вайпера, для нанесения ущерба своим жертвам группировка использует утекшую версию шифровальщика LockBit.

Вердикты, с которыми детектируется версия шифровальщика LockBit группы BlackJack, источник: Kaspersky Threat Intelligence Portal (TIP)

Мы обнаружили шифровальщик в тех же каталогах, что и вайпер:

Sysvoldomainscripts
\[DOMAIN]netlogon
C:ProgramData

Сетевые каталоги для размещения вредоносного ПО выбраны не случайно. Это позволяет злоумышленникам распространять свои образцы по всей инфраструктуре жертвы и впоследствии помещать их в C:ProgramData для дальнейшего выполнения в системе.

Для запуска LockBit злоумышленники используют запланированные задачи, содержащие следующую командную строку (32-значный пароль может отличаться в зависимости от хоста или жертвы):

C:ProgramDatabj.exe -pass aa83ec8e98326e234260ebb650d48f20

Записка содержит только название группировки:

Содержимое записки шифровальщика LockBit

Это подтверждает то, что группировка ставит своей целью не получение финансовой выгоды, а нанесение ущерба взломанной организации.

Ngrok

Для поддержания постоянного доступа к скомпрометированным ресурсам жертвы злоумышленники используют туннелирование с помощью широко распространенной утилиты ngrok. Утилита и ее файл конфигурации были обнаружены в следующих каталогах:

Пути
Описание

Users[USER]Downloadsngrok-v3-stable-windows-amd64.zip

Архив, содержащий исполняемый и конфигурационный файлы

Program FilesWindows Media Playerngrok.exe

Исполняемый файл ngrok

Users[USER]AppDataLocalngrokngrok.yml

Конфигурационный файл, содержащий в себе токен аутентификации и другую информацию

А вот список обнаруженных команд, связанных с выполнением ngrok:

Команды
Описание

.ngrok.exe config add-authtoken <TOKEN>

Процесс аутентификации ngrok

Start-Process -FilePath “ngrok.exe” -WindowStyle Hidden -ArgumentList ‘tcp 3389’

Запуск процесса ngrok.exe и создание TCP-туннеля на порту 3389 (RDP)

.ngrok.exe tcp 3389

Альтернативный вариант создания TCP-туннеля на порту 3389 (RDP)

.ngrok.exe udp 3389

Создание UDP-туннеля на порту 3389 (RDP)

Radmin, AnyDesk, PuTTY

Для обеспечения удаленного доступа к системе BlackJack устанавливает различные средства удаленного доступа (RAT — Remote Access Tool). Судя по изученным инцидентам, злоумышленники изначально пытались использовать утилиту Radmin, однако все внешние подключения, которые мы наблюдали, осуществлялись с помощью AnyDesk.

В ходе установки RAT злоумышленники создавали следующие службы:

Имя службы
Команды запуска

Radmin Server V3

“C:WindowsSysWOW64rserver30RServer3.exe” /service

raddrvv3

C:WindowsSysWOW64rserver30raddrvv3.sys

AnyDesk Service

“C:Program Files (x86)AnyDeskAnyDesk.exe” –service

Кроме того, для подключения к некоторым хостам внутри инфраструктуры использовался популярный SSH-клиент PuTTY.

Связь с группировкой Twelve

Описанные выше вредоносные и легитимные инструменты во многом пересекаются с арсеналом хактивистской группы Twelve. Эта группа также полагается на общедоступное ПО и не использует в атаках собственные разработки.

Большинство связей и пересечений между двумя группами нам удалось обнаружить благодаря телеметрии Kaspersky Security Network (KSN) и решениям Threat Intelligence «Лаборатории Касперского». KSN — это сложная облачная инфраструктура, которая собирает и анализирует анонимные данные о киберугрозах от сотен миллионов добровольных участников по всему миру.

Сходство образцов вредоносного ПО

Для начала рассмотрим сходство обнаруженных нами образцов шифровальщиков и вайперов группировок BlackJack и Twelve. Ниже приведена информация с Kaspersky Threat Intelligence Portal (TIP) о файле шифровальщика LockBit, обнаруженном в ходе расследования атак BlackJack:

Информация о файле BlackJack

Образец имеет название bj.exe — предположительно это сокращение от имени группировки BlackJack. Помимо прочего, на странице TIP можно видеть список похожих файлов, составленный с помощью технологии Similarity, которая позволяет идентифицировать файлы с аналогичными паттернами. Хотя образец, который используют хактивисты, создан с помощью утекшего в открытый доступ билдера LockBit, Similarity находит в первую очередь максимально близкие к нему файлы. Обратите внимание на первый хэш в списке — 39B91F5DFBBEC13A3EC7CCE670CF69AD.

Список похожих файлов

Проверив этот хэш на Threat Intelligence Portal, мы видим, что он упоминается в нашем недавнем расследовании, связанном с группировкой Twelve.

Это дает нам основание предполагать, что группировки используют похожие образцы шифровальщика LockBit. Кроме того, анализ конфигурации двух рассмотренных образцов (BlackJack и Twelve) показал, что в них полностью совпадает список исключений (файлов, директорий и расширений, которые не подлежат шифрованию).

Как и в случае с образцом LockBit группировки BlackJack, среди информации о шифровальщике группы Twelve есть список похожих файлов.

Список похожих файлов

Проверив один из них (подчеркнутый красным на скриншоте выше), мы обнаружили, что файл имеет название bj.exe. То есть это еще один экземпляр шифровальщика группы BlackJack, что лишний раз указывает на то, что сравниваемые группы используют очень похожие образцы шифровальщика LockBit.

Ниже представлен список путей, по которым были обнаружены образцы LockBit в ходе расследования инцидентов, связанных с группировками BlackJack и Twelve:

BlackJack
Twelve

\[DOMAIN]netlogon
\[DOMAIN]netlogon

C:ProgramData
C:ProgramData

Sysvoldomainscripts

Подводя итоги анализа шифровальщика, можно сделать следующие выводы:

Обе группировки используют похожие образцы шифровальщика LockBit.
Пути, по которым были обнаружены эти образцы, практически идентичны.

Продолжим поиск дальнейших связей.

Повторное использование вайпера

Исследование образцов вайперов из инцидентов, связанных с группировками BlackJack и Twelve, также показало сходство между ними.

Оба вайпера перезаписывают MBR-запись практически идентичными строками-заглушками:

MBR-заглушка вайпера BlackJack

MBR-заглушка вайпера Twelve

Проанализировав вайпер BlackJack на Threat Intelligence Portal, мы выяснили, что в некоторых случаях он извлекался из следующего архива:

Информация об архиве, содержащем вайпер BlackJack

Изучив архив, мы видим, что в нем также содержится шифровальщик Chaos — 646A228C774409C285C256A8FAA49BDE:

Файл шифровальщика в архиве

Более того, этот файл упоминался в нашем отчете о группировке Twelve. То есть в одном архиве распространяется вредоносное ПО обеих группировок.

Проверив имена файлов и пути, мы обнаруживаем уже знакомый нам сетевой каталог \sysvoldomainscript.

Имена и пути файла

Помимо этого, в ходе расследования атак, проводимых группировкой Twelve, мы также обнаружили использование вайперов на базе Shamoon. Более того, по данным KSN, конкретный вариант Shamoon, фигурировавший в атаках группировки BlackJack, также был замечен в некоторых атаках Twelve.

По аналогии с анализом шифровальщика LockBit мы решили изучить пути, по которым были обнаружены вайперы в инцидентах, связанных с атаками группировок BlackJack и Twelve. Как видно из приведенной ниже таблицы, эти пути идентичны:

BlackJack
Twelve

Sysvoldomainscripts
Sysvoldomainscripts

\[DOMAIN]netlogon
\[DOMAIN]netlogon

C:ProgramData
C:ProgramData

Подводя итоги анализа вайпера Shamoon, можно с уверенностью сказать, что обе группировки используют его или его компоненты в своих атаках, а также размещают их в одинаковых каталогах. При этом версия Shamoon, ставшая доступной в результате утечки, написана на C#, тогда как варианты этого вайпера, использованные в атаках BlackJack и Twelve, переписаны на Go, что также говорит в пользу связи между этими группировками.

Знакомые команды и утилиты

Помимо связей, выявленных на основе анализа образцов вредоносного ПО, нам также удалось обнаружить совпадения в командах и утилитах, используемых группировками.

Ниже можно увидеть команды, обнаруженные в атаках группировок BlackJack и Twelve.

Создание запланированных задач:

BlackJack
Twelve

reg:\REGISTRYMACHINESOFTWAREMicrosoft
Windows
NTCurrentVersionScheduleTaskCacheTasks{
ID}:Actions”,”`powershell.exe` Copy-Item
`\[DOMAIN]netlogonbj.exe` -Destination
`C:ProgramData`

reg:\REGISTRYMACHINESOFTWAREMicrosoft
Windows
NTCurrentVersionScheduleTaskCacheTasks{I
D}:Actions”,”`POWERSHELL.EXE` Copy-Item
`\[DOMAIN]netlogontwelve.exe` -Destination
`C:ProgramData`

reg:\REGISTRYMACHINESOFTWAREMicrosoft
Windows
NTCurrentVersionScheduleTaskCacheTasks{
ID}:Actions”,”`powershell.exe` Copy-Item
`\[DOMAIN]netlogonwip.exe` -Destination
`C:ProgramData`

reg:\REGISTRYMACHINESOFTWAREMicrosoft
Windows
NTCurrentVersionScheduleTaskCacheTasksID
}:Actions”,”`powershell.exe` Copy-Item
`\[DOMAIN]netlogonwiper.exe` -Destination
`C:ProgramData`

Очистка журналов событий:

BlackJack
Twelve

powershell -command wevtutil el | Foreach
-Object {Write-Host Clearing $_; wevtutil cl $_}

powershell -command wevtutil el | Foreach-Object
{Write-Host Clearing $_; wevtutil cl $_}

Как мы видим, за исключением имен исполняемых файлов, команды полностью совпадают.

Список общедоступных утилит, используемых группировками, также частично совпадает:

BlackJack
Twelve

Mimikatz
PsExec
Ngrok
PuTTY
XenAllPasswordPro
Radmin
AnyDesk
Mimikatz
PsExec
Ngrok
PuTTY
XenAllPasswordPro
chisel
BloodHound
adPEAS
PowerView
RemCom
CrackMapExec
WinSCP

Новая активность

В ходе наших исследований мы также обнаружили еще одну активность, которая сильно напоминает описанные выше. На данный момент мы не можем однозначно утверждать, к какой конкретной группировке относится эта активность, однако образцы вредоносного ПО и процедуры явно указывают на то, что источником является исследуемый кластер активности.

Сходства, которые мы обнаружили, перечислены ниже:

Найденный вайпер содержит характерные строки, которые мы видели в вайперах Twelve и BlackJack, а также создает похожую MBR-запись.
Вайпер распространяется через сетевой каталог sysvol и сохраняется с помощью запланированного задания, которое копирует его в уже знакомый нам каталог C:ProgramData:
reg:\REGISTRYMACHINESOFTWAREMicrosoftWindows
NTCurrentVersionScheduleTaskCacheTasks<GUID>:Actions”,”`powershell.exe` Copy-Item
`\[DOMAIN]SYSVOL[DOMAIN]SCRIPTSletsgo.exe` -Destination `C:ProgramData`

Как и в случае с атаками BlackJack и Twelve, прежде чем уничтожить данные вайпером, злоумышленники запускают шифровальщик (enc.exe), который также копируется из сетевой папки в C:ProgramData:
reg:\REGISTRYMACHINESOFTWAREMicrosoftWindows
NTCurrentVersionScheduleTaskCacheTasks<GUID>:Actions”,”`powershell.exe` Copy-Item
`\[DOMAIN]SYSVOL[DOMAIN]SCRIPTSenc.exe` -Destination `C:ProgramData`

Как и у группировки Twelve, выполнение вайпера, а также копирование вайпера и шифровальщика из сетевого каталога в папку C:ProgramData осуществляются с помощью запланированных задач:

Неизвестная угроза
Twelve

reg:\REGISTRYMACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks<GUID>:Actions”,”`cmd.exe` /c \[DOMAIN]SYSVOL[DOMAIN]SCRIPTSletsgo.exe

reg:\REGISTRYMACHINESOFTWAREMicrosoftWindows
NTCurrentVersionScheduleTaskCacheTasks<GUID>:Actions”,”`cmd.exe` /c \[DOMAIN]netlogonwiper.exe

reg:\REGISTRYMACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks<GUID>:Actions”,”`powershell.exe` Copy-Item `\[DOMAIN]SYSVOL[DOMAIN]SCRIPTSletsgo.exe` -Destination `C:ProgramData`

reg:\REGISTRYMACHINESOFTWAREMicrosoftWindows
NTCurrentVersionScheduleTaskCacheTasks<GUID>:Actions”,”`powershell.exe` Copy-Item
`\[DOMAIN]netlogonwiper.exe` -Destination `C:ProgramData`

reg:\REGISTRYMACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks<GUID>:Actions”,”`powershell.exe` Copy-Item `\[DOMAIN]SYSVOL[DOMAIN]SCRIPTSenc.exe` -Destination `C:ProgramData`

reg:\REGISTRYMACHINESOFTWAREMicrosoftWindows
NTCurrentVersionScheduleTaskCacheTasks<GUID>:Actions”,”`POWERSHELL.EXE` Copy-Item
`\[DOMAIN]netlogontwelve.exe` -Destination `C:ProgramData`

Также в ходе исследования этой активности были обнаружены различные артефакты и процедуры, которых мы не видели в атаках BlackJack и Twelve:

Использование PowerShell-командлета Get-MpPreference для сбора информации об отключенных функциях Windows Defender:
powershell.exe` -ex bypass -c Get-MpPreference | fl disable*

Создание запланированных задач:

Имя задачи
Командная строка
Описание

run1

reg:\REGISTRYMACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks<GUID>:Actions”,”`cmd.exe` /c C:ProgramDataletsgo.exe

Исполнение вайпера из папки C:ProgramData

def

reg:\REGISTRYMACHINESOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks<GUID>:Actions”,”`powershell.exe` -ex bypass -c Get-MpPreference | fl disable*

Сбор информации об отключенных функциях Защитника Windows

Использование WMIExec для перемещения в корневой каталог:
cmd.exe /Q /c cd 1> \127.0.0.1ADMIN$__1710197641.3559299 2>&1

Жертвы

Упомянутые образцы вредоносного ПО, утилиты и командные строки были обнаружены в инфраструктурах госучреждений, телекоммуникационных и промышленных компаний на территории России.

Атрибуция

Исходя из проведенных исследований, мы не можем быть уверены, что за деятельностью обеих групп стоят одни и те же злоумышленники, однако предполагаем, что группировки BlackJack и Twelve являются частью единого кластера хактивистской активности, направленной на организации, расположенные в России.

Заключение

В рамках этого исследования мы продемонстрировали, что группировки BlackJack и Twelve атакуют схожие цели и используют схожее вредоносное ПО, для распространения и запуска которого применяют одни и те же методы. При этом они не заинтересованы в получении финансовой выгоды, а стремятся нанести максимальный ущерб целевым организациям путем шифрования, удаления и кражи данных и ресурсов.

Индикаторы компрометации

Вайпер — Shamoon

ED5815DDAD8188C198E0E52114173CB6                  wip.exe/wiper.exe
5F88A76F52B470DC8E72BBA56F7D7BB2             letsgo.exe

Шифровальщик — LockBit

DA30F54A3A14AD17957C88BF638D3436             bj.exe
BF402251745DF3F065EBE2FFDEC9A777              bj.exe

Пути к файлам

Sysvoldomainscriptswip.exe
\[DOMAIN]netlogonwip.exe
C:ProgramDatawip.exe
Sysvoldomainscriptsbj.exe
\[DOMAIN]netlogonbj.exe
C:ProgramDatabj.exe
C:ProgramDataletsgo.exe
\[DOMAIN]SYSVOL[DOMAIN]SCRIPTSletsgo.exe
C:ProgramDataenc.exe
\[DOMAIN]SYSVOL[DOMAIN]SCRIPTSenc.exe
C:Users[USER]Downloadsngrok-v3-stable-windows-amd64.zip
C:Program FilesWindows Media Playerngrok.exe
C:Users[USER]AppDataLocalngrokngrok.yml

Имена запланированных задач

copy
run1
go2
im
def

​  

​Securelist

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x