В качестве первоначального доступа злоумышленники используют фишинговую рассылку на почтовые адреса организации. Письмо содержит ZIP-архив "60ZWZ2uhB1LpC2g16uKp3nBZmHomS0keQkan00iJ. zip", внутри которого находится вредоносный файл "Список ко дню России.exe".
После запуска вредоносной программы производится операция XOR для расшифрования строк и дальнейшего исполнения в системе с обращением к внешнему ресурсу "https://new[.]systeme-electric[.]tech/news.html" для получения ключа шифрования.
Далее на основе полученных строк и случайно сгенерированного целочисленного значения формируется URL-адрес "http://lk[.]systeme-electric[.]tech:8080/kukuruza.7z, к которому ВПО инициирует сетевое подключение для загрузки второго этапа – шеллкода Donut. Подтверждением загрузки дополнительных модулей являются строки WebClient, DownloadData.
После успешной загрузки в систему шеллкод с помощью атрибута [UnmanagedFunctionPointer(CallingConvention.StdCall)] внедряется в легитимные процессы за счет динамического вызова WinAPI через специальные указатели stdcall.
Следующим этапом происходит извлечение полезной нагрузки в виде импланта С2-фреймворка Sliver.
Имплантом Sliver реализуется следующий функционал:
- после запуска порождается подпроцесс conhost.exe;
- закрепление в системе происходит через ветвь реестра "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run";
- выполняется ослабление политики безопасности IE/Edge, путем изменения параметров "AutoDetect" и "UNCAsIntranet";
- производится размещение приманочных HTML-файлов в каталоге "VirtualStore" и "$Recycle.Bin", что позволяет замаскировать активность и уничтожить процессы при перезагрузке
Финальным этапом вредоносной активности является взаимодействие зараженного хоста с С2-сервером злоумышленника. Предположительно, мотивацией атакующих является кибершпионаж. Основной задачей, характерной для подобных групп, является эксфильтрация данных из системы и удаленное управление скомпрометированными узлами.
Индикаторы компрометации:
IP:
46.8.220[.]151 (C2 sliver)
Domains:
systeme-electric[.]tech
vostok-eleclra[.]ru
ufadializ[.]ru
689856.cloud4box[.]ru
URLs:
https[:]//new.systeme-electric[.]tech/news.html
http[:]//lk.systeme-electric[.]tech:8080/kukuruza.7z
https[:]//new.systeme-electric[.]tech/news.html
http[:]//lk.systeme-electric[.]tech:8080/kukuruza.7z
http[:]//46.8.220[.]151/oauth/oauth2/php/api/oauth/database/register.html?hl=64922z208&i=38656024
https[:]//lk.systeme-electric[.]tech/oauth2/database/login.html?_=u63842650&vm=941f84746
https[:]//46.8.220[.]151/oauth/oauth2/database/api/db/php/oauth2callback/login.html?cw=649r2220_8&t=90125495
http[:]//46.8.220[.]151/db/database/index.html?a=92q73833&aq=12279097
http[:]//lk.systeme-electric[.]tech/api/api/api/api/oauth2/database/index.html?do=80885693&r=61387308
https[:]//46.8.220[.]151/oauth2callback/database/php/oauth2callback/register.html?j=50d22046c3&wk=d12279b097
SHA256:
66d4982d72e01f27f7c9c993fba308ef5fcb035cddffcae83c327695374f6fd2 (Список ко Дню России.exe)
460a3dfa839376aed1f340f4def871a7c207113a6fc252971fbf94395f2cfe2f (Gemodializrb.exe)
f04e39d67bc3d11dc1592cad9188377ab1c0808631ec450fc133fa940c821985 (Gemodializrb.exe var2)
64148edf25e50b9d62880e0e1e2466b992639d7f6889eb1a88fd199272ba8bcb (Donut shellcode)
5c21fb6c33a7a74c3d7fceb1488b6531c20510ef17d330eefe07b18b086d97b9 (Donut shellcode kukuruza.exe)
90e765a6648a10f3fc332284e59a05ad32c2ca2437795388e6b406b6d8dc79ac (Sliver implant)
В базах решающих правил AM Rules ПМ присутствуют детектирующие правила, позволяющие обнаружить не только конкретную описанную угрозу, но и предотвратить аналогичную активность злоумышленника в дальнейшем. Проверить собственные индикаторы компрометации на вредоносность можно с помощью AM TIP.