Паттерны современных вредоносных кампаний

Паттерны вредоносной активности — одна из главных характеристик, позволяющих атрибутировать образцы ВПО и другие инструменты конкретной группе злоумышленников, своевременно детектировать атаку и митигировать ее последствия. За последнее время ландшафт угроз, складывающийся из этих паттернов, претерпел существенные изменения. Если раньше атакующие чаще всего использовали общедоступный инструментарий, схожие векторы заражения и вообще действовали по уже известным схемам, то сейчас ситуация кардинальным образом изменилась. Большинство современных кластеров атакующих разрабатывают и развивают собственный инструментарий, в котором предыдущий образец ВПО может быть лишь функцией нового; поддерживают массив сетевой инфраструктуры с возможностью быстрой замены серверов; а также используют для создания ВПО генеративный ИИ, что позволяет им увеличить количество векторов заражения и смешать свои паттерны поведения со сгенерированными.

Конкретные примеры современных вредоносных кампаний

Несмотря на эти изменения, наши эксперты продолжают активно отслеживать новые вредоносные кампании и реагировать на современные угрозы. Вот несколько примеров вредоносных кампаний, обнаруженных и проанализированных нашими специалистами.

Вредоносная кампания Librarian Likho

Данная кампания отличается от предыдущих активностей той же группы прежде всего масштабом. Наши технологии зарегистрировали более тысячи вредоносных писем почти идентичной структуры, разосланных организациям из госсектора, строительной и промышленной отраслей, что прямо указывает на автоматизацию проводимых атак.

Точкой входа служит письмо с вредоносным вложением, замаскированным под офисный документ, с именем вроде «Контракт на оказание услуг по Договору № 5445-95. Исх. № 125.com». После внимательного исследования наши эксперты выяснили, что файл в действительности является исполняемым инсталлятором Smart Install Maker. При запуске он распаковывает в директорию %TEMP% два .cab-архива с набором инструментов, а для отвлечения открывает файл-приманку doc30.doc —офисный документ с типичным деловым содержимым, который должен убедить жертву, что ничего необычного не происходит.

Дальше атака развивается последовательно. Первым делом запускается утилита 4t Tray Minimizer (Trays.exe -tray), которая прячет окна всех последующих инструментов атакующих от пользователя. Затем через dc.exe /d отключается Microsoft Defender — это как раз один из узнаваемых элементов «почерка» группы, не меняющийся от кампании к кампании. После этого инструментами WebBrowserPassView извлекаются браузерные и почтовые пароли, а результаты немедленно отправляются атакующим по протоколу SMTP через утилиту blat.exe.

Вредоносная кампания HeartlessSoul

Группировка HeartlessSoul использует сразу несколько каналов получения первичного доступа к инфраструктуре жертвы. Первый — рассылка вредоносных писем с архивами, внутри которых находятся файлы LNK, XLL или MSI. В LNK-ярлыках эксплуатируется уязвимость ZDI-CAN-25373, скрывающая вредоносную команду за пробелами и переносами строк так, что проводник показывает жертве лишь не вызывающий подозрений путь. Второй способ — поддельные сайты авиационной тематики, например battleflight{.}pro, с которых жертвы скачивают зараженные установщики. Третий — легитимная платформа SourceForge, где злоумышленники опубликовали зловред под видом GearUP — сервиса улучшения соединения в онлайн-играх.

Во всех вышеперечисленных случаях после первоначального заражения выполняются обфусцированные PowerShell-команды, которые устанавливают Node.js и загружают с командного сервера злоумышленников JS-загрузчик index.js. Для закрепления он прописывает себя в папку автозапуска через VBS-ярлык и создает запланированную задачу ZeroDriveBackupTaskSystem141.1.7272.0. Примечательно, что в качестве резервного командного сервера загрузчик обращается к Solana Name Service, децентрализованному блокчейн-реестру, что существенно затрудняет блокировку инфраструктуры.

Основная нагрузка — также обфусцированный JavaScript RAT, который реализует широкий набор функций через PowerShell. Он может делать снимки экрана, читать буфер обмена, записывать нажатия клавиш, собирать системную информацию, обходить UAC, забирать дамп Outlook, удаленно выполнять команды оператора и загружать дополнительные вредоносные модули. Для кражи браузерных данных из Chrome, Edge, Opera и Яндекс Браузера RAT собирает cookie-файлы, Local State и хранилища leveldb, а мастер-ключ извлекает .NET-инструментом с внутренним именем GetCookiesKey.exe. Данные Telegram копируются целиком из директории tdata, архивируются и отправляются на C2 через POST-запрос с идентификатором жертвы в заголовке.

Анализ инфраструктуры злоумышленников выявил связь HeartlessSoul с APT-группой GOFFEE: они используют общий IP-адрес 104.194.158{.}63, пересекающиеся домены и идентичные приманки в виде авиационного ПО. Обе группы активно применяют PowerShell-нагрузки и нацелены на российский госсектор, что указывает на возможную координацию кампаний.

Вредоносная кампания Leek Likho

Некоторые группировки для распространения используют Telegram, к примеру Leek Likho рассылает вредоносные ссылки именно через этот мессенджер. По ссылкам находятся сайты, имитирующие страницы загрузки файлов в мессенджере, или же ссылки злоумышленников ведут на сервис Dropbox. По ссылке скачивается ZIP-архив, который во встроенном просмотрщике Windows выглядит как обычный PDF, однако в 7-Zip обнаруживает свое истинное содержимое, ярлык с двойным расширением .pdf.lnk, иконкой Edge и именем вроде Proekt_prikaza_681_o_pooshchrenii.pdf.lnk. Рядом в архиве скрыта папка System Volume Information с вложенным архивом инструментов.

Запуск ярлыка активирует загрузчик первого этапа — LeekSower. Он рекурсивно ищет исходный архив через where.exe /r, распаковывает его в папку AppData\globalAssetInstance, затем из скрытой папки извлекает второй архив и разворачивает инструменты в директорию графического редактора Krita — для маскировки. Среди содержимого: переименованный Tor-клиент (datagrip.exe), sshd.exe под именем messenger.exe, sftp.exe под именем reaper.exe, а также XML-файлы запланированных задач и приманка-PDF.

На следующем этапе запускается ВПО LeekGerminator. Сначала оно проверяет, что работает не в песочнице: убеждается в наличии более 10 LNK-файлов в папке «Последние документы» и более 50 запущенных процессов. Если проверки пройдены, оно открывает PDF-приманку, создает две скрытые задачи планировщика, запускающиеся при логине пользователя через conhost —headless, и регистрирует Tor с транспортом obfs4 (мосты из папки internalReportMap) и SSH-сервер на localhost:20321 с аутентификацией только по публичному ключу. Затем через curl с 1000 попытками отправляет на .onion-адрес имя пользователя и идентификатор Tor-сервиса, регистрируя жертву у оператора атаки.

После ручного подключения оператор переносит в систему rclone, переименованный в bittorrent.exe, и создает задачу для модуля LeekYield. Тот перебирает все подключенные USB-накопители, копирует с них данные во временный каталог %TEMP%\media\{GUID} с сортировкой по времени изменения, а затем выгружает собранную информацию по протоколу S3 через SSH-туннель на порт 12191.

Наши продукты детектируют все используемые в этих вредоносных кампаниях зловреды, включая Trojan-Spy.Win32.Limpid.*, Trojan-PSW.Win32.Xploder.*, HEUR:Trojan.Win32.Config.*, Trojan-Downloader.MSOffice.SLoad.*. Больше технических подробностей и индикаторов компрометации можно найти в публикациях Securelist про Librarian Likho, HeartlessSoul и Leek Likho.

Топ-10 техник и зловредов, используемых атакующими

В результате анализа инструментов злоумышленников наши защитные продукты каждый день пополняются новыми правилами детектирования, которые основаны на нашей экспертизе и поступающей телеметрии. Из самых актуальных техник, тактик и процедур (TTP), использующихся атакующими на данный момент, наши эксперты выделили топ-10 и указали, какими правилами они детектируются (правила доступны подписчикам нашего сервиса Threat Intelligence Portal).

Исходя из статистики, для получения первичного доступа атакующие чаще всего рассылают вложения в рамках вредоносных почтовых кампаний. А для загрузки дополнительного инструментария используют LOLBins-инструменты: mshta, hta, bits, а также certutil.

Кроме того, наши эксперты ежедневно отслеживают новые активности атакующих кластеров: модификации инструментов и вредоносных образцов, новые кампании и векторы заражения. Ниже приведен список группировок и вердиктов угроз, характерных для их активности.

При обнаружении любого из перечисленных выше вердиктов SOC-аналитикам рекомендуется: изолировать хост от сети, запустить сканирование YARA-правилами, а также собрать дамп памяти конечной точки. Каждая из представленных выше угроз детектируется решениями компании «Лаборатории Касперского». Одно из таких решений — Kaspersky Endpoint Detection and Response Expert, средство защиты, способное успешно обнаруживать вредоносную активность на конечных точках инфраструктуры. Узнать о продукте больше можно на официальной странице Kaspersky EDR Expert.

Если вы обнаружили в вашей инфраструктуре подобную активность, требующую анализа экспертов, вы можете оставить заявку на расследование, заполнив форму. Специалисты «Лаборатории Касперского» свяжутся с вами в ближайшее время.