Подельники или подражатели? Подробности атак группировки PhaseShifters

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
10/4/18
Сообщения
5.056
Репутация
9.908
Реакции
15.251
RUB
1.045
Сделок через гаранта
18
af42fd27ca785b1405d298d79ed5c07e.png

С весны 2023 года мы в отделе исследования киберугроз активно наблюдаем за одной любопытной группировкой — PhaseShifters. Мы решили назвать ее так, потому что она меняет свои техники вслед за другим группировками, например UAC-0050 и TA558. А phase shift (в переводе с англ. — «сдвиг фазы»), как известно, — разность между начальными фазами двух величин, изменяющихся во времени периодически с одинаковой частотой.

В своих атаках PhaseShifters не отличаются оригинальностью: используют фишинг от имени официальных лиц с просьбой ознакомиться с документами и их подписать. А эти документы, в свою очередь, защищены паролем и (что предсказуемо) заражены.

В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer — часть этих инструментов мы заметили у UAC-0050. А использованные криптеры были те же, что и у группировок TA558 и Blind Eagle.

Подробнее о том, кто у кого списал, читайте под катом, а полный текст исследования можно найти .

С чего все начиналось​

В конце июня 2024 года мы обнаружили архив с названием Копия трудовой.docx.rar. Он распространялся в качестве вложения в письмах различным компаниям на территории России. Архив был защищен паролем, который, предположительно, можно было найти в теле письма.

Файл из архива (Копия трудовой.docx.exe) выгружал в систему несколько файлов, один из которых был с провокационным названием putin_***.exe, а также документ-приманку в виде фото паспорта гражданина Республики Беларусь.

Документ-приманка с паспортом

Документ-приманка с паспортом
Файл с провокационным названием запускал PowerShell-скрипты, которые получали картинки с загрузчиком ВПО и полезную нагрузку последней стадии из репозиториев Bitbucket.

По первой ссылке (bitbucket[.]org/hgdfhdfgd/test/downloads/new_image[.]jpg?14441723) можно было найти репозиторий с файлами и картинками со стеганографией.

На картинках была пустыня Атакама в Чили.

Изображение с пустыней, скрывающее вредоносный скрипт

Изображение с пустыней, скрывающее вредоносный скрипт
Второй Bitbucket-репозиторий (bitbucket[.]org/fasf24124/fdgfytrj/downloads) до сих пор функционирует и хранит 46 файлов с разными названиями, но с одинаковым содержанием.

Репозиторий создан 4 марта 2024 года пользователем с никнеймом siniy34240.

В цепочке атак использовался болгарский С2-сервер, который связан с другими подобными атаками и такими файлами, как:

  • ru***.exe
  • *pen.exe
  • vvp_***.exe
Последняя полезная нагрузка в цепочке атаки — троян удаленного доступа DarkTrack RAT, который использовался группировкой в атаках и годов.

Помимо DarkTrack RAT, в репозиториях находились такие семейства ВПО, как AsyncRAT, RedLine, Remcos, njRAT, XWorm и другие. Такой набор троянов и стилеров использовался и другими группировками, а именно: TA558 и Blind Eagle.

Количество скачиваний у некоторых образцов ВПО превышает 46 000 раз. Такое массовое использование файлов указывает скорее на распространение вредоносов через специализированные сервисы, нежели на активность традиционных APT-группировок.

Один криптер на всех​

При поиске схожих элементов в PowerShell-скриптах, а также в BAT- и VBS-файлах мы выделили несколько особенностей обфускации:

  • Использование обфускации с применением функций SET, GOTO (BAT-файлы) и Call (VBS-файлы).
  • Переменная $codigo («код» с португальского или испанского языков) в PowerShell-скрипте, получаемом после деобфускации.
  • В последнем PowerShell-скрипте происходило скачивание полезной нагрузки в виде текстового файла, внутри которого находится закодированный в Base64 файл с ВПО.
Проанализировав эти особенности скриптов, мы увидели пересечение с атаками группировки TA558, про которую мы в апреле. Кроме того, мы нашли сходство c деятельностью группировки Blind Eagle, компанией eSentire. В отчете они рассказали про использование криптеров и обфускаторов, которые распространяются на теневых форумах в связке с загрузчиком Ande Loader. Его-то мы и встретили у PhaseShifters.

Понять, что PhaseShifters использовала тот же криптер, что и TA558, также помогли картинки с репозиториев создателей обфусткаторов — они были .

Самая первая картинка (июль 2023 года) с тестовой полезной нагрузкой внутри

Самая первая картинка (июль 2023 года) с тестовой полезной нагрузкой внутри
Картинка из репозитория (август 2024 года), полезная нагрузка внутри — dnlib

Картинка из репозитория (август 2024 года), полезная нагрузка внутри — dnlib
На этом сходства PhaseShifters с другими APT-группировками не заканчиваются :)

Не Bitbuket-ом единым: пересечения с UAC-0050​

UAC-0050 — хакерская группировка, атакующая государственные организации на территории Украины с 2020–2021 годов, а также компании из Польши, Беларуси, Молдовы, стран Балтии и .

Ранее мы сказали, что ход атак группировок PhaseShifters и UAC-0050 (отправка фишингового письма и заражение через документ-приманку или архив с паролем) был подозрительно похож.

Более того, в 2023 году UAC-0050 Remote Utilities для атаки на польские и украинские организации, а в январе 2024 года группировка это приложение под легитимный CCleaner. В этой же атаке группировка тоже использовала Bitbucket, но уже для хранения архива.

Точно так же, как UAC-0050, PhaseShifters использовала ВПО, замаскированное под установщик утилиты CCleaner, ! Сам файл был SFX-архивом с обфусцированными AutoIt-скриптами.

Обе группировки использовали AutoIt-скрипты на протяжении примерно полугода, и обе одновременно прекратили их использовать. Интересная особенность этих скриптов заключалась в том, что только три группировки замечены за использованием AutoIt-загрузчика, а именно: PhaseShifters, UAC-0050 и .

Первые атаковали польские организации: PhaseShifters делала это в феврале 2024 года, а UAC-0050 атаковала Польшу в ноябре — декабре 2023 года. Основываясь на сходстве используемых техник фишинга, а также на абсолютно идентичной маскировке ВПО, мы сделали предположение о взаимосвязи этих двух группировок.

Еще больше подозрительно точных сходств​

Рассмотрим , который нам удалось создать на основе обнаруженных атак. На схеме белым цветом отображено использование группировкой UAC-0050 некоторых репозиториев из общего списка, желтым — аналогичные связи только со стороны группировки PhaseShifters. Зеленым цветом в представлении графа показан анализ цепочки атаки, а фиолетовым — дополнительная информация.

e89fffda4ace081f735327c9f04f4668.png

Как видно из графа, некоторые репозитории используются обеими группировками. И если взаимодействие с картинкой еще можно объяснить покупкой одного и того же криптера, о котором говорилось ранее, то использование одного и того же репозитория с полезной нагрузкой объяснить сложнее. Дело в том, что репозиторий с вредоносным ВПО указывается пользователем в обфускаторах как ссылка на полезную нагрузку. Получается, что обе группировки вручную указали эти ссылки.

А теперь рассмотрим другие атаки группировок PhaseShifters и UAC-0050, в которых также использовался один репозиторий: bitbucket[.]org/sdgw/sdge/downloads/ (более недействителен).

Со стороны группировки UAC-0050 такой репозиторий использовался в цепочке атаки с файлом Копія з позначкою банку.vbs, загружая в качестве полезной нагрузки файл bitbucket.org/sdgw/sdge/downloads/meduza[.]txt, после декодирования Base64 становящийся стилером Meduza.

Группировка PhaseShifters использовала этот репозиторий в цепочке атаки с файлом Проект распоряжения правительства Курской области.pdf.zip. Полезная нагрузка скачивалась по ссылке bitbucket[.]org/sdgw/sdge/downloads/mbFgnhd[.]txt, что является DarkTrack RAT — характерным для них ВПО.

Таким образом, в одном репозитории находились и стилер Meduza, использование которого запрещено правилами теневого форума для атак на российские организации и российских пользователей в целом, и DarkTrack RAT, который был обнаружен в атаках на территории России. Позже, 15 октября 2024 года, вышла с упоминанием этих репозиториев. Странная получается ситуация.

Все точки над i​

Мы убедились, что PhaseShifters копирует технику UAC-0050. Кроме того, мы уже в который раз наблюдаем, что это копирование начинается с небольшим промежутком в несколько недель.

Может, PhaseShifters — просто искусные подражатели, а может, PhaseShifters и UAC-0050 — это одна и та же группировка, атакующая как Россию, так и Украину. Мы склоняемся ко второму варианту, но не можем утверждать наверняка.

Сетевые индикаторы​

Индикатор​
Тип индикатора​
Назначение​
raw.githubusercontent.com/santomalo/audit/main/img_test.jpg?\d+​
Общий. Картинка из репозитория используется в атаках нескольких группировок​
GitHub-репозиторий с картинкой, внутри которой — полезная нагрузка​
bitbucket.org/hgdfhdfgd/test/downloads/new_image.jpg?\d+​
Общий. Картинка из репозитория используется в атаках нескольких группировок​
Bitbucket-репозиторий с картинкой, внутри которой — полезная нагрузка с Ande Loader​
bitbucket.org/shieldadas/gsdghjj/downloads/img_test.jpg?\d+​
Общий. Картинка из репозитория используется в атаках нескольких группировок​
Bitbucket-репозиторий с картинкой, внутри которой — полезная нагрузка с Ande Loader​
bitbucket.org/rulmerurk/ertertqw/downloads/.*\.txt​
Индивидуальный индикатор для PhaseShifters​
Bitbucket-репозиторий с закодированной полезной нагрузкой​
bitbucket.org/fasf24124/fdgfytrj/downloads/.*\.txt​
Индивидуальный индикатор для PhaseShifters​
Bitbucket-репозиторий с закодированной полезной нагрузкой​
bitbucket.org/fwfsfw/fwf/downloads/.*\.txt​
Общий индикатор. Репозиторий используется несколькими группировками по всему миру​
Bitbucket-репозиторий с закодированной полезной нагрузкой​
bitbucket.org/sdgw/sdge/downloads/.*\.txt​
Общий индикатор. Репозиторий используется несколькими группировками по всему миру​
Bitbucket-репозиторий с закодированной полезной нагрузкой​
45.143.166.100​
Индивидуальный. Используется только группировкой PhaseShifters​
DarkTrack C2​
94.156.79.57​
DarkTrack C2​

Матрица MITRE ATT&CK​

Reconnaissance
T1135​
Network Share Discovery​
Группа PhaseShifters сканировала сетевые папки, доступные через протокол SMB​
Resource Development
T1588.001​
Obtain Capabilities: Malware​
Группа PhaseShifters предположительно приобретала криптер или подписку на криптер​
T1608.001​
Stage Capabilities: Upload Malware​
Группа PhaseShifters сама или с помощью третьих лиц загружала вредоносное ПО в Bitbucket-репозиторий​
Initial Access
T1566.001​
Phishing: Spearphishing Attachment​
Группа PhaseShifters посылала фишинговые письма в различные компании и прикрепляла запрошенные архивы с паролем, который находился в теле письма​
Execution
T1059.001​
Command and Scripting Interpreter: PowerShell​
Группа PhaseShifters запускала обфусцированные PowerShell-скрипты​
T1059.003​
Command and Scripting Interpreter: Windows Command Shell​
Группа PhaseShifters запускала обфусцированные файлы с помощью cmd.exe​
T1059.005​
Command and Scripting Interpreter: Visual Basic​
Группа PhaseShifters использовала обфусцированные VBS-скрипты​
Persistence
T1547.001​
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder​
Вредоносные файлы группировки PhaseShifters закреплялись в папке Startup​
Defense Evasion
T1027​
Obfuscated Files or Information​
Группировка PhaseShifters использовала Base64 для шифрования полезной нагрузки​
T1027.002​
Obfuscated Files or Information: Software Packing​
Группировка PhaseShifters использовала UPX и Themida​
T1027.003​
Obfuscated Files or Information: Steganography​
Группировка PhaseShifters использовала технику стеганографии в картинках, находящихся в Bitbucket-репозитории​
T1027.010​
Obfuscated Files or Information: Command Obfuscation​
Криптер, который использовала группа PhaseShifters, обфусцировал PowerShell-код​
T1036​
Masquerading​
Группировка PhaseShifters маскировала EXE-файлы, используя иконки легитимных программ и других расширений​
T1036.007​
Masquerading: Double File Extension​
Группировка PhaseShifters маскировала EXE-, DOCX- или LNK-файлы, используя двойные расширения, например .docx.exe​
T1036.008​
Masquerading: Masquerade File Type​
На Bitbucket, которые использовала PhaseShifters, вредоносные файлы хранились в закодированном виде с расширением .txt​
T1140​
Deobfuscate/Decode Files or Information​
Вредоносное ПО группировки PhaseShifters декодировало полезную нагрузку, полученную в процессе заражения​
T1564.003​
Hide Artifacts: Hidden Window​
В криптере, который использовала группировка PhaseShifters, использовался флаг -hidden для сокрытия выполнения PowerShell-скрипта​
Discovery
T1057​
Process Discovery​
Группировка PhaseShifters использовала PowerShell-команды для поиска и завершения определенных процессов​
T1012​
Query Registry​
Группировка PhaseShifters собирала информацию о реестре​
Command And Control
T1102​
Web Service​
Группировка PhaseShifters использовала Bitbucket и GitHub для загрузки вредоносного ПО​
T1105​
Ingress Tool Transfer​
Группировка PhaseShifters использовала Ande Loader для загрузки дополнительного вредоносного ПО​
T1571​
Non-Standard Port​
Группировка PhaseShifters использовала в атаках нестандартные порты, например 1443 и 49162, для коммуникации через TCP-протокол​
T1132.001​
Data Encoding: Standard Encoding​
Группировка PhaseShifters использовала стандартный протокол TLS 1.2, а также закодированные в Base64 строки для шифрования передаваемых данных​

 
  • Теги
    apt вредоносное по расследование
  • Сверху Снизу