Целевыми объектами для кибершпионажа злоумышленника являются промышленный, нефтегазовый и IT секторы. Стоит отметить, что в текущем компьютерном инциденте использовался модифицированный загрузчик PhantomDL, написанный на языке Golang. Также анализ затрудняет нестандартный упаковщик UPX и дополнительно обфусцированный исходный код образца.
Вектор атаки:
Контакт-центром заказчика было получено фишинговое электронное письмо. Письмо содержало типовые для группировки грамматические ошибки и было отправлено от имени ООО «НМИЦ». Во вложении содержался архив с названием "Договор_№ИД21-152.rar", защищенный паролем "2024", который был указан в теле письма. Архив включает в себя легитимный PDF-документ и исполняемый файл "Договор_№ИД21-152.pdf .exe".
После открытия документа-приманки, эксплуатируется уязвимость WinRAR CVE-2023-38831 (https://amtip.ru/lookup/CVE-2023-38831), позволяющая запустить исполняемый файл незаметно для жертвы. Вредоносное ПО отправляет первоначальный запрос к конечному адресу C2-сервера злоумышленника
POST /init HTTP/1.1
Host: 45.87.245.53:80
Таким образом, скомпрометированный хост инициализируется в инфраструктуре атакующего. В теле запроса передается системная информация:
- uuid
- domain, hostname, username
- LocalIP, PublicIP
- Версия OS
Отличительным признаком подобной сетевой активности может стать индикатор:
User-Agent: GRequests/0.10
С тем же командным центром было установлено взаимодействие других образцов, например, файл-ярлык с названием:
"Документы_для_оплаты_услуг.xlsx.lnk".
Меры противодействия:
В базах решающих правил AM Rules ПМ присутствуют детектирующие правила, позволяющие обнаружить не только конкретную описанную угрозу, но и предотвратить аналогичную активность злоумышленника в дальнейшем.
AM Threat Intelligence Portal (https://amtip.ru/) – веб-сервис сведений о киберугрозах от АО «ПМ», предлагающий данные о различных IoC для построения эффективной защиты организаций и анализа действий киберпреступников.