PhantomDL и DarkWatchman RAT атакуют российские организации

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
В начале июля системы мониторинга угроз «Лаборатории Касперского» зарегистрировали две волны целевых почтовых рассылок с вредоносными архивами внутри.


Получателями были сотрудники российских организаций, в основном производственной, государственной, финансовой и энергетической отраслей. Первая волна прошла пятого июля и затронула около 400 пользователей, вторая, более массовая, была замечена десятого июля — получателями стали свыше 550 пользователей. Цифры основаны на данных Kaspersky Security Network — системы сбора телеметрии, содержащей анонимизированную информацию, добровольно предоставленную нашими пользователями.

Некоторые письма представляли собой ответ на настоящую переписку с контрагентами целевых организаций, что может говорить о том, что злоумышленники использовали взломанные почтовые ящики этих контрагентов или ранее украденную переписку. Письма, продолжающие старую переписку, вызывают больше доверия у потенциальных жертв.


Примеры вредоносных писем

Злоумышленники постоянно меняли предлог, под которым просили скачать и открыть вредоносный архив, создавали уникальные и убедительные тексты писем, чтобы не вызвать сомнения у потенциальных получателей зловреда.

В качестве полезной нагрузки атакующие распространяли RAR-архив, который мог находиться во вложении или скачиваться по ссылке на Google Диск в теле письма. В подавляющем большинстве случаев архив был защищен паролем, который также был указан в письме. Названия могли быть разные, в зависимости от темы переписки: «РасчетнаяведомостьТН76_309_от05_07_2024», «Возврат средств реквизиты», «Счет-Фактура», «Договоркх02_523».

Внутри архива находился документ-приманка, а также одноименная папка, содержащая исполняемый файл, обычно с двойным расширением (например, «Счет-Фактура.pdf .exe»). Такая структура архива может использоваться для попыток эксплуатации уязвимости , получившей широкое распространение среди злоумышленников.


Пример содержимого вредоносного архива

Бэкдор PhantomDL

В случае успешной атаки на устройство жертвы устанавливалось специфичное вредоносное ПО, которое мы классифицируем как Backdoor.Win64.PhantomDL. Оно написано на языке Go, сильно обфусцировано и отличается использованием нестандартной версии упаковщика UPX. PhantomDL впервые появился в марте 2024 года, а предшествовал ему инструмент PhantomRAT, написанный на .NET.

По сути это то же ПО, только на другом языке программирования. Так же как и его предшественник, PhantomDL применяется в основном для установки и запуска различных утилит категории HackTool и ПО для удаленного администрирования.

В частности, мы заметили в подобных атаках установку утилит rsockstun и ngrok для туннелирования трафика, sshpass для доступа к компьютеру по SSH и других. Кроме того, бэкдор используется для загрузки различных файлов с компьютера жертвы на сервер злоумышленников — как правило, это результаты и логи выполнения различных утилит, но также возможна и загрузка любых других конфиденциальных документов.

Бэкдор может выполнять следующие команды:
  • exit — прекратить выполнение;
  • None — ожидать следующей команды;
  • shell — открыть командную оболочку и выполнить указанную команду;
  • download — отправить указанный файл с компьютера на сервер;
  • upload — скачать и запустить указанный файл.

Команды бэкдора PhantomDL

Как можно видеть на скриншоте выше, чтобы затруднить обнаружение автоматическими средствами, команды в коде бэкдора написаны задом наперед, а shell также разбита на две строки.

Коммуникация с C2

В отличие от предыдущих версий, использовавших протокол HTTP, коммуникация с С2 в текущей версии бэкдора осуществляется по протоколу .


Коммуникация PhantomDL с C2

Интересно, что в качестве C2 используются домены, мимикрирующие под Wildberries и Яндекс Диск: api.wilbderreis[.]ru, api.yandex-disk[.]info. Возможно, таким образом злоумышленники пытаются оставаться незамеченными в зараженной системе. Помимо этого, они использовали взломанный домен крупного российского промышленного предприятия для хостинга модулей бэкдора (после нашего обращения вредоносное ПО с этого домена оперативно удалили).


Пример домена, который PhantomDL использует в качестве C2

Атрибуция атак PhantomDL

На основании применявшегося вредоносного ПО, индикаторов компрометации, а также тактик, техник и процедур злоумышленников можно предположить, что за атаками PhantomDL стоит хакерская группировка, известная как Head Mare.

Рассылка DarkWatchman RAT

Стоит отметить, что аналогичные по оформлению, целям, названиям и формату вложений рассылки мы наблюдали и ранее, однако в них распространялось другое вредоносное ПО. В частности, с конца апреля по начало июня рассылались письма с похожим на июльские кампании содержанием: во вложении якобы находились документы, защищенные паролем по требованию министерства, а сам пароль был указан в тексте письма. Вложения назывались в соответствии с темой письма, например «Заявка на рассчет Май 2024.pdf.rar» или «Документ из налоговой(запрос).rar».

В этих письмах распространялись экземпляры вредоносного ПО DarkWatchman RAT, которое предоставляет злоумышленникам удаленный доступ к зараженной системе.


Примеры вредоносных писем в кампании DarkWatchman RAT

Рассмотрим эту кампанию подробнее на примере второго письма. В нем говорится, что во вложении находятся документы из налоговой, которые якобы нужно переслать бухгалтеру. К письму прилагается архив с именем «Документ из налоговой(запрос).rar», внутри которого находится файл «Документ из налоговой(запрос).exe». Этот документ, в свою очередь, является самораспаковывающимся архивом RarSFX.


Содержимое архива RarSFX

Как только пользователь открывает файл, автоматически выполняется скрипт, который запускает PowerShell, добавляет системный диск в исключения Защитника Windows, чтобы он не сканировал этот диск на наличие угроз, и выполняет JScript (7020189421) через службу WScript. Этот скрипт и является основной полезной нагрузкой DarkWatchman RAT.


Выполнение вредоносного скрипта DarkWatchman RAT

При этом пользователю отображается окно с ошибкой.



Запускаемый вредоносный скрипт умеет выполнять команды, полученные с удаленного сервера, с помощью интерпретаторов WSH-, PowerShell- и BAT-скриптов, скачивать и исполнять вредоносные файлы и библиотеки и выгружать пользовательские файлы на сервер. Также в скрипте реализованы функции кейлоггера, самоудаления и периодической очистки кэша браузеров Chrome, Firefox и Yandex Browser.

В случае запуска с правами администратора вредоносный скрипт также может удалить теневые точки восстановления Windows.


Команды, которые поддерживает DarkWatchman RAT

В качестве C2 используются жестко закодированные домены и домены, сгенерированные автоматически при помощи DGA (Domain Generation Algorithm). Алгоритм генерирует строки на основе текущей даты, соли и итератора. Затем для этих строк вычисляется CRC32. Полученные значения используются для создания доменных имен с зонами .space, .shop или .fun. Например, fbobf2b1[.]shop, 73c9efbb[.]space, 3365815f[.]fun.


 
  • Теги
    darkwatchman rat phantomdl вредоносный архив
  • Сверху Снизу