Вектор атаки:
Обнаруженный вектор атаки схож с предыдущими кампаниями данной группировки. Так, в процессе получения первоначального доступа злоумышленники использовали вредоносное вложение в формате RAR-архива «Методические рекомендации по ведению воинского учета в организациях.rar», внутри которого находился вредоносный файл-дроппер с таким же наименованием «Методические рекомендации по ведению воинского учета в организациях.exe».
При запуске исполняемого файла выполняется распаковка во временную директорию следующих файлов
- decoy-файл «Методические рекомендации по ведению воинского учета в организациях.pdf»
- исполняемый файл с функционалом WinRAR selfterminating.exe
- RAR-архив lipspreading.rar
- CMD-файл greenyellow.cmd
После запуска greenyellow.cmd, а также PDF-файла, с помощью вышеупомянутого selfterminating.exe выполняется распаковка lipspreading.rar, который содержит bat-файлы Syrohittite.bat и creativities.bat, а также исполняемый файл PnPHost.exe с функционалом UltraVNC.
Далее greenyellow.cmd передает управление одному из bat-файлов %ComSpec% /c C:\Users\Public\Documents\Syrohittite.bat
На данном этапе через Syrohittite.bat в скрытом режиме запускается creativities.bat, а также создаются конфигурационные файлы morish.ini и ultravnc.ini.
Кроме этого, Syrohittite.bat, используя PowerShell-команды, создает запланированную задачу для запуска creativities.bat через conhost.exe. При этом данная задача выполняется каждые 6 минут с повторным стартом в течение каждого нового дня после создания. Функционалом creativities.bat является проверка доступности C2-сервера deshevorus[.]ru, а также запуск PnPHost.exe. Стоит заметить, что запуск выполнялся несколько раз, в одном из которых присутствовали опции автоматического восстановления соединение с С2.
Финальным этапом вредоносной активности является взаимодействие зараженного хоста с С2-сервером злоумышленника через ранее запущенный образец UltraVNC
Индикаторы компрометации:
IP:
95.81.115[.]225
Domains:
deshevorus[.]ru
SHA256:
f802f04b9d835060bebfdacf235b219163c32321837a2d78f60ea20a2d816f29 (Методические рекомендации по ведению воинского учета в организациях.exe)
636b06d74f2622096fe0596a8bae3785f1fc425ed0e4ec74369b3a018e26dc55 (greenyellow.cmd)
5d779fe05087e40f3c1d3f6734acf912516bca02568565194fb09dfe6604e98e (creativities.bat)
5c9dbcc95baafa3e7e1806f2ec6e5ce8f6bff336e583bfac814d1bca60e36fcb (Syrohittite.bat)
f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24 (PnPHost.exe)
602916f65d920ebef3f5d7bc8e1076e4848f3235242cd968f0659ff97daf0e8e (Методические рекомендации по ведению воинского учета в организациях.exe)
575ab600f7410362b91da0816e1190b6b0a42127fab796fccedee4fb318b291b (lipspreading.rar)
В базах решающих правил AM Rules ПМ присутствуют детектирующие правила, позволяющие обнаружить не только конкретную описанную угрозу, но и предотвратить аналогичную активность злоумышленника в дальнейшем. Проверить собственные индикаторы компрометации на вредоносность можно с помощью AM TIP.