Система управления событиями опасности

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.285
Репутация
11.800
Реакции
61.991
RUB
50
В попытках доставить вредоносное ПО на устройства жертв и продержаться на них как можно дольше злоумышленники иногда прибегают к довольно нестандартным методам.

Так, в кампании, нацеленной на несанкционированную добычу криптовалюты и продолжающейся с 2022 года, атакующие не только задействовали множество различных ресурсов для распространения, но и использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе — установку агента SIEM-системы с открытым исходным кодом Wazuh.

Кампания, судя по всему, глобальная, однако в этой статье мы рассмотрим цепочку заражения, с которой, по данным нашей телеметрии, столкнулись преимущественно русскоговорящие пользователи. Злоумышленники распространяли вредоносное ПО через сайты, якобы позволяющие бесплатно скачать различное популярное ПО (uTorrent, Microsoft Office, Minecraft и т. д.). Эти сайты показывались пользователям на первых строчках поисковой выдачи Яндекса.

Помимо поиска атакующие использовали Telegram-каналы для криптоинвесторов, а также описания и комментарии под роликами на YouTube, посвященными криптовалюте, читам и азартным играм.

SL-Miner-abusing-SIEM-featured-1200x600.jpg

Заражение

Злоумышленники продвигают свои страницы в поисковой выдаче Яндекса. При попытке найти ресурсы, с которых можно загрузить различное ПО — uTorrent, MS Excel, MS Word, Minecraft, Discord и другое, — на первых строчках пользователи видят сайты, содержащие вредоносные файлы.


Ссылки на вредоносные сайты в поиске Яндекса

Внешний вид сайтов копирует либо официальные сайты ПО, которое ищет пользователь, либо известные пиратские площадки, распространяющие соответствующие программы:

Вредоносные сайты

Также злоумышленники ведут несколько Telegram-каналов, которые распространяют исследуемое вредоносное ПО. Каналы явно нацелены на владельцев криптокошельков и пользователей читов: в них предлагается скачать тематическое ПО. Чтобы помешать пользователям делиться информацией о мошенничестве, злоумышленники отключили в каналах возможность пересылки сообщений, создания снимков экрана и предпросмотра в веб-версии Telegram.


Вредоносное ПО в Telegram-канале злоумышленников

Помимо этого, злоумышленники распространяют вредоносное ПО через YouTube. Для этого они опубликовали множество англоязычных видео с различных аккаунтов, возможно, взломанных. Также вероятно, что сами ролики атакующие скачивали из других каналов на YouTube и перезаливали. В описании к видео и в комментариях злоумышленники оставляли ссылки на свои ресурсы.

Некоторые из них напрямую вели на сайты, содержащие вредоносное ПО. Другие — на упомянутые выше Telegram-каналы. Также мы видели под роликами на YouTube ссылки на сервис логирования IP, который позволяет злоумышленникам собирать IP-адреса пользователей, перешедших по ссылке, после чего перенаправляет их на основной сайт с вредоносным ПО.


Примеры видео с вредоносными ссылками в описании или комментариях


Комментарий со ссылкой на Telegram-канал мошенников

Закрепление и техники обхода​

Посетив сайт или канал злоумышленников, пользователь может скачать ZIP-архив, который якобы содержит нужное ему ПО. Внутри архива находится MSI-файл и TXT-файл с паролем, необходимым для его установки. Также в текстовом файле содержится инструкция, в которой злоумышленники рекомендуют отключить антивирусное ПО и Windows Defender. В некоторых случаях инструкция и пароль помимо текстового файла присутствуют и в Telegram-канале или на сайте, с которого пользователь скачал архив.


Содержимое текстового файла

MSI-файл при запуске запрашивает пароль из TXT-файла (или из инструкции на ресурсе злоумышленников) — это одна из мер против исследования в песочнице. Если пользователь вводит правильный пароль, выполняется поле CustomAction MSI-файла, которое запускает VBS-скрипт из установочного пакета. Этот скрипт передает управление BAT-файлу, распаковывающему следующую часть цепочки атаки из зашифрованного архива. В первую очередь происходит закрепление еще одного BAT-файла в автозапуск с привилегиями SYSTEM для одиночного запуска. После этого происходит перезапуск системы.


Содержимое поля CustomAction в MSI-файле

Прописанный в автозапуск BAT-файл распаковывает запароленный RAR-архив и запускает команду start с двумя DLL-файлами, извлеченными из этого архива. Один из этих файлов представляет собой легитимный интерпретатор AutoIt, а второй — легитимную динамическую библиотеку с валидной цифровой подписью. Полезная нагрузка — вредоносный A3X-скрипт, скомпилированный в EXE-файл, — расположена внутри подписи легитимной библиотеки.


Вредоносная полезная нагрузка, скрытая внутри подписи легитимной библиотеки

Эта техника интересна по двум причинам. Во-первых, A3X-скрипт добавлен в подпись таким образом, что ее легитимность не теряется и файл продолжает считаться корректно подписанным, несмотря на дополнительное содержимое. Подлог практически невозможно заметить без анализа содержимого файла.

Во-вторых, особенностью интерпретатора AutoIt является то, что при передаче ему файла в качестве аргумента он ищет особую сигнатуру, свойственную скомпилированным скриптам, игнорируя любой контент, расположенный до сигнатуры. Эта особенность позволяет злоумышленникам размещать вредоносный код в любом файле там, где это не повредит файлу-контейнеру.


Сигнатура, указывающая на начало скомпилированного A3X-скрипта

Расположение вредоносного кода в случайных местах различных файлов — прием не новый. Подобные техники наблюдались не только при использовании AutoIt, но и при запуске кода с помощью других платформ. Однако исследуемую атаку отличает не только сам факт подобного внедрения, но и обход проверки подписи, что позволяет файлу с имплантом казаться легитимным.


Зараженный файл успешно проходит проверку подписи

Если запустить команду start не удается, BAT-файл удаляет каталог с установленными файлами, включая себя. Если же заражение проходит успешно, после запуска вредоносный A3X-имплант в первую очередь проверяет наличие запущенных процессов, связанных с отладкой или антивирусным ПО. Обнаружив такой процесс, он завершает работу, как можно увидеть в деобфусцированном коде скрипта, изображенном ниже.


Проверка запущенных процессов в A3X-скрипте

Скомпилированный A3X-скрипт содержит вызовы функции FileInstall. Эта функция принимает два аргумента: путь к устанавливаемому файлу и путь к месту его установки. До компиляции вызов этой функции просто копирует файл из первого пути во второй, однако во время компиляции интерпретатор сохраняет устанавливаемые файлы внутри скомпилированного скрипта.

В итоге в финальный имплант, помимо самого исполняемого кода, оказываются запакованы и дополнительные вредоносные файлы, которые затем устанавливаются прямиком из импланта. Эти файлы необходимы для закрепления и дальнейшего исполнения вредоносной активности. Они устанавливаются по следующим путям:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
C:\ProgramData\NUL..\libssl-1_1.dll
C:\ProgramData\NUL..\vcruntime140.dll
C:\ProgramData\NUL..\libcrypto-1_1.dll
C:\ProgramData\NUL..\StartMenuExperienceHost.exe
C:\ProgramData\AUX..\ShellExt.dll
C:\ProgramData\AUX..\utshellext.dll
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\ShellExt.dll
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\utshellext.dll
C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat
C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\ShellExt.dll
C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\utshellext.dll
C:\ProgramData\insta.bat
C:\ProgramData\Distribution..\ShellExt.dll
C:\ProgramData\Distribution..\utshellext.dll
C:\ProgramData\Oedist\Kun.bat
C:\ProgramData\Redist\Oun.bat
C:\ProgramData\Uedist\Eun.bat
C:\ProgramData\Jedist\Qun.bat

Папкам с установленными файлами для закрепления выставляются атрибуты system, hidden и read-only. Дополнительно, используя утилиту icacls, имплант запрещает всем пользователям любых доменов удалять эти папки, изменять разрешения к ним, владеть ими, добавлять данные или подпапки, записывать обычные и расширенные атрибуты, удалять внутренние файлы, записывать данные и добавлять файлы.

Файлы копируются в каталоги с необычными именами не просто так. Например, имя каталога Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6} делает его специальным для Windows Shell: проводник определяет в имени GUID и при открытии воспринимает его как ярлык — в данном случае на запуск Центра Уведомлений (Action Center), — не позволяя пользователю увидеть файлы внутри папки.


Отображение папки с вредоносным ПО в проводнике

После установки всех необходимых импланту файлов происходит закрепление с помощью WMI: создаются фильтры, срабатывающие на часто встречающиеся события — достаточно часто, чтобы гарантировать активацию фильтра в нужный момент. Для каждого фильтра проверка соответствующего события производится с заданной частотой. При срабатывании фильтра с помощью класса __FilterToConsumerBinding обеспечивается выполнение необходимых команд.
  • Раз в 3 минуты запускается утилита netcat, замаскированная под StartMenuExperienceHost.exe. В качестве аргументов при ее запуске передаются -e cmd.exe и адрес C&C злоумышленников (sportjump[.]ru). Это позволяет атакующим исполнять любые команды на компьютере жертвы.
  • Раз в 5 и 10 минут выполняются файлы nun.bat, каждый из которых запускает следующий этап в цепочке атаки. Злоумышленники создали две копии файла для надежности, однако, если не происходит сбоев, запускают обе.
  • Раз в 15 минут следующий этап атаки запускается напрямую, через запуск команды start.
Все эти методы впоследствии повторно используются для более надежного закрепления файлом insta.bat, который запускается в конце исполнения A3X-импланта.


Запуск утилиты netcat

Помимо закрепления через WMI, скрипт напрямую запускает netcat, файлы nun.bat и команду start. После этого происходит еще несколько попыток закрепления — через ключи реестра Image File Execution Options и Debugger или MonitorProcess.
Интересной особенностью этого вредоносного ПО является загрузка и использование агента SIEM Wazuh для получения удаленного контроля, сбора телеметрии и ее отправки на C&C-сервер злоумышленников. Чтобы обеспечить возможность исполнения команд на компьютере жертвы, при установке агента выставляется опция remote_commands.


Установка и запуск агента Wazuh

A3X-имплант первого этапа собирает следующую информацию: имя компьютера, имя пользователя, версия и архитектура ОС, название процессора, данные о GPU и установленном антивирусном ПО. Эта информация вместе с текущим временем отправляется в чат Telegram-бота злоумышленников. Также некоторые модификации вредоносного ПО могут отправлять скриншот рабочего стола, а некоторые — устанавливать расширение для браузера, позволяющее подменять криптокошельки.


Вредоносное браузерное расширение

Следующий этап атаки представляет собой два DLL-файла, использующие ту же технику, что и первый этап: легитимный AutoIt-интерпретатор и A3X-имплант, расположенный в подписи легитимной динамической библиотеки. Имплант этого этапа является финальной полезной нагрузкой в изученной цепочке заражения.

Он внедряет в память отдельно созданного процесса explorer.exe майнер с открытым исходным кодом SilentCryptoMiner, внутри которого уже находится URL страницы, содержащей конфигурацию злоумышленников. В конфигурации указывается, какую криптовалюту майнить, на какой кошелек отправлять и т. д. В изученных вариантах конфигурации чаще всего встречаются анонимные криптовалюты, такие как Monero или Zephyr.


Пример конфигурации майнера

Помимо собственно генерации криптовалюты, SilentCryptoMiner умеет скрывать свою активность при наличии запущенных процессов из списка stealth-targets и останавливать процессы из списка kill-targets.

География атак

Большинство атак с использованием описанной цепочки заражения затронули российских пользователей (87,63%). Также в десятку стран с наибольшим числом пользователей, столкнувшихся с подобными атаками, вошли Беларусь, Индия, Узбекистан, Казахстан, Германия, Алжир, Чехия, Мозамбик и Турция.

TOP 10 стран, где пользователи столкнулись с изученной цепочкой заражения, июнь — август 2024 г. ( )

Заключение

Описанная атака хорошо иллюстрирует тот факт, что массовые кампании могут быть довольно сложными и давать широкие возможности атакующим. В результате многоступенчатой цепочки заражения злоумышленники множеством различных способов закрепляются в системе и получают к ней полный доступ.

Хотя основная цель злоумышленников — извлечь прибыль путем скрытной добычи криптовалюты на устройствах жертв, некоторые модификации вредоносного ПО могут совершать дополнительные вредоносные действия, например подменять адреса криптовалютных кошельков в буфере обмена и делать скриншоты. При этом отдельный интерес представляет применение редких техник в этой атаке, таких как использование агента SIEM-системы, добавление вредоносной нагрузки в цифровую подпись легитимного файла, а также сокрытие содержимого папок с вредоносными файлами.

Стоит отметить, что сайты, видео и каналы в Telegram, созданные злоумышленниками, нацелены в первую очередь на пользователей, которые ищут бесплатные версии популярного ПО и читы к играм. Эта аудитория — легкая цель для атакующих, поскольку готова скачивать программы из неофициальных источников и отключать защитное ПО для их установки.

Наши продукты детектируют данное вредоносное ПО со следующими именами:
  • HEUR:Trojan-Dropper.OLE2.Agent.gen
  • HEUR:Trojan.BAT.Agent.gen
  • HEUR:Trojan.VBS.Agent.gen
  • Trojan.Script.AutoIt.ak
  • Trojan.BAT.Agent.cix
  • Trojan.BAT.Miner.id
  • HEUR:Trojan.Multi.Agent.gen
  • PDM:Trojan.Win32.Generic

Матрица MITRE ATT&CK​

TacticTechnique IDTechnique
Resource DevelopmentT1608.006Stage Capabilities: SEO Poisoning
T1608.001Stage Capabilities: Upload Malware
ExecutionT1204.001User Execution: Malicious Link
T1204.002User Execution: Malicious File
T1059.010Command and Scripting Interpreter: AutoHotKey & AutoIT
T1059.003Command and Scripting Interpreter: Windows Command Shell
T1059.005Command and Scripting Interpreter: Visual Basic
PersistenceT1546.012Event Triggered Execution: Image File Execution Options Injection
T1546.003Event Triggered Execution: Windows Management Instrumentation Event Subscription
Privilege EscalationT1053.005Scheduled Task/Job: Scheduled Task
Defense EvasionT1055Process Injection
T1562.001Impair Defenses: Disable or Modify Tools
T1497Virtualization/Sandbox Evasion
T1027.009Obfuscated Files or Information: Embedded Payloads
T1027.010Obfuscated Files or Information: Command Obfuscation
T1036.008Masquerading: Masquerade File Type
T1564.001Hide Artifacts: Hidden Files and Directories
DiscoveryT1518.001Software Discovery: Security Software Discovery
T1033System Owner/User Discovery
T1082System Information Discovery
T1497Virtualization/Sandbox Evasion
CollectionT1113Screen Capture
ImpactT1496Resource Hijacking
ExfiltrationT1041Exfiltration Over C2 Channel


 
  • Теги
    вредоносное по добыча криптовалюты майнер
  • Сверху Снизу