Mysterious Werewolf атакуют российскую электронную промышленность через уязвимость в WinRAR

Ключевые выводы

  • Организации часто пренебрегают обновлением прикладного программного обеспечения, что позволяет злоумышленникам эффективно использовать даже те уязвимости, патчи для которых доступны продолжительное время.

  • Использование динамических DNS позволяет атакующим иметь более гибкую инфраструктуру и избегать быстрой блокировки.

  • Атакующие все чаще используют менее популярные фреймворки постэксплуатации, что позволяет им эффективнее обходить ряд средств защиты.

Описание атаки

В этот раз атакующие выдавали себя за Министерство промышленности и торговли Российской Федерации, а фишинговые электронные письма содержали архивы с именем Pismo_izveshcanie_2023_10_16.rar, которые эксплуатировали уязвимость CVE-2023–38831.

Архив содержал легитимный документ в формате PDF, а также папку с вредоносным файлом CMD. После открытия архива и двойного щелчка по документу эксплоит запускал файл CMD. Соответственно, WinRAR.exe запускает cmd.exe, чтобы выполнить вредоносный файл CMD.

Возможности обнаружения 1

В данном случае WinRAR.exe запускает cmd.exe, чтобы выполнить вредоносный файл CMD (C:\Users\[redacted]\AppData\Local\Temp\Rar$DIa5576.1088\Pismo_Rassylka_Ministerstva_promyshlennosti.pdf .cmd). Запуск cmd.exe нетипичен для WinRAR.exe. Кроме того, мы можем использовать список расширений файлов, которые ассоциируются с эксплуатируемой уязвимостью, чтобы сделать наш метод обнаружения еще более точным.

Мы можем обращать внимание на WinRAR.exe, который запускает cmd.exe для выполнения файла с одним из следующих расширений: .cmd, .pif, .com, .exe, .bat, .lnk.

Вредоносный файл CMD выполняет следующий сценарий PowerShell:

powershell  -nop -WindowStyle Hidden -c "Invoke-Command -ScriptBlock ([scriptblock]::Create([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('[redacted]'))))

Сценарий обфусцирован и выполняет следующие действия:

  • загружает легитимный документ PDF (Pismo_Rassylka_Ministerstva_promyshlennosti.pdf, его содержимое показано на рисунке ниже) c hXXps://cloudfare[.]webredirect[.]org (провайдер динамических DNS Dynu) и открывает его;

  • загружает агент Athena c hXXps://cloudfare[.]webredirect[.]org и сохраняет его как C:\Users\[redacted]\AppData\Local\Microsoft\Windows\Fonts\MikrosoftEdge.exe;

  • создает задание в планировщике Windows для запуска агента каждые 10 минут:
    schtasks /crEaTE /Sc mINUTE /mo 10 /TN "Microsoft Edge" /Tr C:\Users\[redacted]\AppData\Local\Microsoft\Windows\Fonts\MikrosoftEdge.exe /f.

Легитимный документ

Легитимный документ

Возможности обнаружения 2

Здесь мы имеем сразу несколько возможностей для обнаружения. Например, PowerShell взаимодействует с адресом провайдера динамических DNS — это подозрительно.

Далее,  powershell.exe создает файлы в нетипичных расположениях — это еще один пример подозрительного поведения. Вы можете использовать информацию об этих папках для реализации проактивного поиска угроз, например искать подозрительные исполняемые файлы, запущенные из папок Fonts или Ringtones.

Чтобы закрепиться в скомпрометированной системе, атакующие использовали планировщик заданий Windows. Разумеется, такая активность создает много шума, но вы можете поэкспериментировать с параметрами командной строки, чтобы обнаружить аномальную активность. Например, можно сфокусироваться на тех, которые нетипичны для вашей IT-инфраструктуры.

И наконец, агент Athena. В данном случае он использует Discord для получения команд, а значит, у нас есть возможность обнаружить подозрительные коммуникации, например, с discord[.]com или discordapp[.]com, исходящие не от приложения Discord или браузеров.

Mythic C2 представляет собой кросс-платформенный коллаборационный фреймворк для специалистов по тестированию на проникновение. Он позволяет оператору производить различные действия в контексте постэксплуатации — например, взаимодействовать с файловой системой скомпрометированной системы, загружать и выгружать файлы, выполнять команды и сценарии, сканировать сеть и т. п.

Заключение

Несмотря на то что фреймворки постэксплуатации активно используются многими группировками, особенно если говорим о популярных вроде Cobalt Strike и Metasploit, Mythic мы видим в арсенале злоумышленников не так часто, что может позволить им обойти некоторые средства защиты, имеющиеся у организаций.

Индикаторы компрометации

  • hXXps://cloudfare[.]webredirect[.]org;

  • 947bf4f9b0b0ad87f8abdfdf53ae7f518560959a5168ff1893b2a63f57cc35ca;

  • 85239a43c106a44aac81c772f87982848cf18bcce87b5c0b5c4f1b1ea17c8b66;

  • a4ba00adcfc3d0be2f7e78fe7712dc379b8a82b6b6fd77351c51955f82595e20.

MITRE ATT&CK

Тактика

Техника

Процедура

Initial Access

Phishing: Spearphishing Attachment

Mysterious Werewolf использует вложенные в фишинговые письма архивы, которые эксплуатируют уязвимость CVE-2023–38831

Execution

Exploitation for Client Execution

Mysterious Werewolf использует уязвимость CVE-2023–38831 в WinRAR для выполнения вредоносного кода в скомпрометированной системе

User Execution: Malicious File

Жертве необходимо открыть вредоносный файл, чтобы инициализировать процесс компрометации

Command and Scripting Interpreter: Windows Command Shell

В результате успешной эксплуатации запуск вредоносного файла CMD осуществляется с помощью командной строки Windows

Command and Scripting Interpreter: PowerShell

Mysterious Werewolf использует PowerShell для загрузки легитимных документов и агента Athena с удаленного сервера

Persistence

Scheduled Task/Job: Scheduled Task

Mysterious Werewolf создает задания в планировщике Windows для закрепления в скомпрометированной системе

Defense Evasion

Masquerading: Match Legitimate Name or Location

Mysterious Werewolf использует имена для вредоносных файлов, похожие на легитимные

Obfuscated Files or Information

Mysterious Werewolf использует Base64 для кодирования скриптов, выполняемых в PowerShell

Command and Control

Dynamic Resolution

Mysterious Werewolf использует динамические DNS для загрузки файлов в скомпрометированную систему

Ingress Tool Transfer

Mysterious Werewolf загружает агент Athena с удаленного сервера

Web Service: Bidirectional Communication

Mysterious Werewolf использует Discord для коммуникации с С2

© Habrahabr.ru