Mysterious Werewolf атакуют российскую электронную промышленность через уязвимость в WinRAR08.11.2023 12:15

Ключевые выводы

• Организации часто пренебрегают обновлением прикладного программного обеспечения, что позволяет злоумышленникам эффективно использовать даже те уязвимости, патчи для которых доступны продолжительное время.

• Использование динамических DNS позволяет атакующим иметь более гибкую инфраструктуру и избегать быстрой блокировки.

• Атакующие все чаще используют менее популярные фреймворки постэксплуатации, что позволяет им эффективнее обходить ряд средств защиты.

Описание атаки

В этот раз атакующие выдавали себя за Министерство промышленности и торговли Российской Федерации, а фишинговые электронные письма содержали архивы с именем Pismo_izveshcanie_2023_10_16.rar, которые эксплуатировали уязвимость CVE-2023–38831.

Архив содержал легитимный документ в формате PDF, а также папку с вредоносным файлом CMD. После открытия архива и двойного щелчка по документу эксплоит запускал файл CMD. Соответственно, WinRAR.exe запускает cmd.exe, чтобы выполнить вредоносный файл CMD.

Возможности обнаружения 1

В данном случае WinRAR.exe запускает cmd.exe, чтобы выполнить вредоносный файл CMD (C:\Users\[redacted]\AppData\Local\Temp\Rar$DIa5576.1088\Pismo_Rassylka_Ministerstva_promyshlennosti.pdf .cmd). Запуск cmd.exe нетипичен для WinRAR.exe. Кроме того, мы можем использовать список расширений файлов, которые ассоциируются с эксплуатируемой уязвимостью, чтобы сделать наш метод обнаружения еще более точным.

Мы можем обращать внимание на WinRAR.exe, который запускает cmd.exe для выполнения файла с одним из следующих расширений: .cmd, .pif, .com, .exe, .bat, .lnk.

Вредоносный файл CMD выполняет следующий сценарий PowerShell:

powershell  -nop -WindowStyle Hidden -c "Invoke-Command -ScriptBlock ([scriptblock]::Create([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('[redacted]'))))

Сценарий обфусцирован и выполняет следующие действия:

• загружает легитимный документ PDF (Pismo_Rassylka_Ministerstva_promyshlennosti.pdf, его содержимое показано на рисунке ниже) c hXXps://cloudfare[.]webredirect[.]org (провайдер динамических DNS Dynu) и открывает его;

• загружает агент Athena c hXXps://cloudfare[.]webredirect[.]org и сохраняет его как C:\Users\[redacted]\AppData\Local\Microsoft\Windows\Fonts\MikrosoftEdge.exe;

• создает задание в планировщике Windows для запуска агента каждые 10 минут:
  schtasks /crEaTE /Sc mINUTE /mo 10 /TN "Microsoft Edge" /Tr C:\Users\[redacted]\AppData\Local\Microsoft\Windows\Fonts\MikrosoftEdge.exe /f.

Легитимный документ

Возможности обнаружения 2

Здесь мы имеем сразу несколько возможностей для обнаружения. Например, PowerShell взаимодействует с адресом провайдера динамических DNS — это подозрительно.

Далее,  powershell.exe создает файлы в нетипичных расположениях — это еще один пример подозрительного поведения. Вы можете использовать информацию об этих папках для реализации проактивного поиска угроз, например искать подозрительные исполняемые файлы, запущенные из папок Fonts или Ringtones.

Чтобы закрепиться в скомпрометированной системе, атакующие использовали планировщик заданий Windows. Разумеется, такая активность создает много шума, но вы можете поэкспериментировать с параметрами командной строки, чтобы обнаружить аномальную активность. Например, можно сфокусироваться на тех, которые нетипичны для вашей IT-инфраструктуры.

И наконец, агент Athena. В данном случае он использует Discord для получения команд, а значит, у нас есть возможность обнаружить подозрительные коммуникации, например, с discord[.]com или discordapp[.]com, исходящие не от приложения Discord или браузеров.

Mythic C2 представляет собой кросс-платформенный коллаборационный фреймворк для специалистов по тестированию на проникновение. Он позволяет оператору производить различные действия в контексте постэксплуатации — например, взаимодействовать с файловой системой скомпрометированной системы, загружать и выгружать файлы, выполнять команды и сценарии, сканировать сеть и т. п.

Заключение

Несмотря на то что фреймворки постэксплуатации активно используются многими группировками, особенно если говорим о популярных вроде Cobalt Strike и Metasploit, Mythic мы видим в арсенале злоумышленников не так часто, что может позволить им обойти некоторые средства защиты, имеющиеся у организаций.

Индикаторы компрометации

• hXXps://cloudfare[.]webredirect[.]org;

• 947bf4f9b0b0ad87f8abdfdf53ae7f518560959a5168ff1893b2a63f57cc35ca;

• 85239a43c106a44aac81c772f87982848cf18bcce87b5c0b5c4f1b1ea17c8b66;

• a4ba00adcfc3d0be2f7e78fe7712dc379b8a82b6b6fd77351c51955f82595e20.

MITRE ATT&CK

© Habrahabr.ru