DarkGaboon: яд кибергадюки в цифровых жилах российских компаний06.06.2025 12:16

В январе текущего года группа киберразведки TI‑департамента PT ESC разоблачила ранее неизвестную финансово мотивированную APT‑группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта.

Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.

Kill chain, TTP, инструменты

В качестве вектора проникновения группировка продолжает использовать email‑рассылку c текстом на русском языке с таргетом на сотрудников финансовых подразделений и акцентом на срочности изучения документов во вложении. Прилагаемые к письмам архивы содержат документы‑приманки RTF и.scr‑файлы, являющиеся обфусцированными Themida и.NET Reactor PE билдами RAT‑троянов Revenge и XWorm, использующими названия‑омоглифы, изображение PDF‑документа и невалидные Х.509-сертификаты, якобы выпущенные на имя российских компаний либо имеющие бухгалтерский подтекст.

Обнаруженные экземпляры документов‑приманок RTF, используемые DarkGaboon в текущих кибератаках, загружены группировкой с легитимных ресурсов с шаблонами финансовых документов и стабильно используются с 2023 года.

Рисунок 1. Вредоносное письмо

Рисунок 2. Х.509 сертификат

Рисунок 3. Документ‑приманка RTF

Рисунок 4. Омоглифы в названии файла

Проникнув в атакуемую сеть и закрепившись с использованием RAT‑троянов, DarkGaboon проводит горизонтальную разведку узлов внутренней сети, доступных с зараженного хоста. Упакованный с использованием UPX дроппер расшифровывает с помощью алгоритма AES‑ECB (ключ шифрования — MD5-хеш строки «oKuQzNc8L6QcYdrA5»), извлекает и запускает на зараженном хосте два инструмента:

NS.exe: сетевой сканер N.S., обнаруживает и монтирует доступные сетевые шары;
1.exe: командой cleanmgr /sagerun:1 запускает утилиту очистки жесткого диска от временных файлов.

Рисунок 5. Деобфусцированный код дроппера

Рисунок 6. Сканер сетевых шар «N.S.»

Рисунок 7. Очистка жесткого диска

Используемый DarkGaboon экземпляр сетевого сканера N.S. скомпилирован в сентябре 2018 года, а в феврале 2019 года впервые замечен в реальной кибератаке. В настоящее время используется в арсенале многих киберпреступных группировок.

Завершив монтирование доступных сетевых шар, DarkGaboon зашифровывает LockBit«ом доступные файлы и оставляет записку с инструкцией на русском языке по их расшифровке, в которой в качестве контактов указаны два адреса электронной почты. Следы предварительной эксфильтрации зашифрованных данных на инцидентах не выявлены.

Используемая DarkGaboon версия шифровальщика LockBit 3.0 (LockBit Black) в 2022 году попала в открытый доступ и в настоящее время используется многими группировками.

Рисунок 8. Записка с инструкцией по расшифровке файлов

В завершение кибератаки DarkGaboon зачищает цифровые следы, демаскирующие управляющую инфраструктуру, путем запуска BAT‑файла, который удаляет RAT‑троян с сессией удаленного подключения к зараженному хосту и самого себя.

Рисунок 9. BAT‑файл

Сетевая инфраструктура

В отличие от предыдущих кибератак, в которых DarkGaboon для рассылки вредоносных писем использовала ранее скомпрометированные email, в рамках текущей киберкампании рассылка вредоносных писем осуществляется с расположенного в России SMTP‑сервера с PHPMailer и 53 делегированных ему доменов в российской доменной зоне.ru, часть из которых была зарегистрирована еще в августе 2024 года.

Инфраструктура для управления RAT‑сессиями на зараженных хостах претерпела незначительные изменения: DarkGaboon продолжает использовать группы доменов Dynamic DNS, в том числе созвучные с африканским гигантом Килиманджаро, и виртуальный Windows‑хост с RDP‑подключением, как и прежде арендованный в сетях американского провайдера хостинга Nybula LLC, однако на этот раз также получивший африканскую прописку на Сейшельских островах.

Указанный в инструкции домен room155[.]online не является публичным сервисом и, вероятнее всего, принадлежит группировке. Домен и соответствующий ему TLS‑сертификат впервые были зарегистрированы в марте 2023 года, что совпадает с периодом начала активности DarkGaboon. Сервер, указанный в DNS‑записях домена, является проксирующим: ему одномоментно делегированы порядка 500 доменных имен, на 53-м сетевом порте функционирует программное обеспечение PowerDNS, а сам домен неоднократно менял записи DNS (A), первая из которых относилась к серверу в сети украинского провайдера хостинга. Анализ DNS‑записей позволил обнаружить активные субдомены, связанные с веб‑интерфейсом электронной почты и хранилищем WebDav.

Рисунок 10. Интерфейс аутентификации в WebMail

Рисунок 11. Интерфейс аутентификации в хранилище WebDav

Рисунок 11. Интерфейс аутентификации в cPanel

Артефакты

Адреса электронной почты, указанные в обнаруженных на инцидентах записках, ранее фигурировали в кибератаках с использованием шифровальщика LockBit на финансовые подразделения российских компаний в марте — апреле 2023 года, что так же, как и период регистрации домена и TLS ‑сертификатов, совпадает с периодом начала активности DarkGaboon. Текст записок 2025 года в целом схож с текстом записок 2023 года, однако был убран TOX‑идентификатор злоумышленников и добавлен комментарий о нежелательности использования для коммуникации российских почтовых сервисов, Gmail и Proton.

Рисунок 12. Сообщение на форуме 2023 года с email DarkGaboon

Рисунок 13. Сообщение на форуме 2023 года с email DarkGaboon

Рисунок 14. Записка 2023 года с инструкцией по расшифровке файлов

Заключение

В целом DarkGaboon продолжает придерживаться тактики использования опенсорс‑решений: RAT‑троянов Revenge, XWorm, шифровальщика LockBit и сетевого сканера N.S. — что позволяет группировке затеряться на общем фоне многочисленных кибератак с использованием этих инструментов.

Однако артефакты, обнаруженные в рамках киберразведки и реагирования на инциденты, позволили PT ESC связать DarkGaboon с целой серией кибератак 2023–2025 годов на российские компании с использованием шифровальщика LockBit, целью которых является извлечение финансовой выгоды путем шифрования компьютерной информации компаний и вымогательства денежных средств за ее расшифровку.

При этом DarkGaboon не является клиентом RaaS‑сервиса LockBit и действует самостоятельно, на что указывают такие факты, как использование попавшей в открытый доступ версии шифровальщика LockBit, отсутствие в атакованных компаниях следов эксфильтрации данных и традиционных угроз опубликовать украденную информацию на DLS‑портале.

PT ESC, как и ранее, прогнозирует сохранение высокой активности APT‑группировки DarkGaboon в отношении российских компаний, продолжит отслеживать ее активность и своевременно предупреждать жертв о готовящихся кибератаках.

Индикаторы компрометации

Архивы

02 023bc19eb1cb987d350cdf2b7c60b9 142 025a03f6a93efc0d243daec5cdf5b

0acc2f5a85 282cdaea23cfbb0e78b73dd2d4d6e194da0f885acce0 819 240 811b

41bbc46d96f3f9329aa53c8d239c30 988a332fd9a03e724d73c82 193e1b5a97a

4 866 772 541b5ab893dca6905ee069b119b58 778daa45fb673b7361d7b27 458d2

5af2d7fedbaa78 758e8fbb6ea0a0cbd1cca981df52 008f10 560 151f9212a0c15

8ed2 849 034 485f817f7 622 675e546c7c3d9542e049f55b1d027cb2a647 187e99

b509d7ac35c6e623db52e284 495bb0d8d03 144 940 524a92e95b0c2d0283a291e

d3155bdd8c4dea57b41fe0 200 806 382 836df5c7049be8021c7bed14e2bf6c79e

d931ed0c3da566e48df473 403 194f2 546 479 208d3b9b83d9956a726c9c384a36

e95c5c29e22 613 662ab9afba331b93 338 992e6717be8d9fa60cc22d5f44f828a

fb9c92d2491e2e659b0c7ab5069af9f65b1 825 452f3cc25 098c5c474aeb52 464

26 910be32d61e27fcdc021f63d47d32c2737e19c8e8a3a579a0284c58f3d9d58

3fc5a5d655debfac40 833c9c2a08c492de317c4f0c3 963 512ba777df7106cd72

b53fd63a70f1e22cc87af05 865 855d8b99b04ffd527aacc73c70deca44fbbf1f

db8adfa9d7e48cdc7656f7edeccac256 048e805b0ff09 430d352ecf0dcc25f67

RAT‑трояны

0520a212d6d20cb0b2c89e5 951 318b15 444 898 349a220 730 526c9987c5f1e3e4

0afccbfc1d3706f151e1 541 148f9197a517d5d988 339eb268d9eecea78a705d6

14fe6ed3f29ec0c6063bf640aa54e6dddd0b722a7462cec3afda6e0bca50a6b5

1ad02fe8 314 924e7e149a364c871eaccd70e01 121c1 447 887 496d35f842 396bb

2a6b561 674a8a6e82f53a81a8833e172b894 112fc788a2a4e90a9fa90daeb3f4

348d501 097ec2efb17a7b2fb6f3ff63e0b9990d0ba7d3de93c1c04c0fff3becc

3 755 718db9d33f4aba2563de454d4530a308b41b1096c904 102d08e2101f2020

38bfe75c845a89bbdad6ca7f622a19bc12 424e7bce7532a1e0e7c77dcffa5a2c

454d665b598ea0baba192a88cceb1b93f3a034b851db8ac01 521b75dc979fb5c

46b402b3ac3add312a2aa21 210c25f8086b76b4 089 284ed6bb689 426e55a67c2

55d05 771 086c5acc0c6275be9e1 366 819b5bb941a1bfb85ea4a1721ce6486a85

592d006cd1961e88 071e7f033 325 727e505 660d17a40 044bd187 539c2baec8ed

7a8c864ed8b7ca908d3f317d7e63a30a85fb3e8c94 070f23f2cf0bfa01c5e0b5

7f4b0d9b4ba2013a4bdc441b76 255fe2c328b5 629 138c414d78f6353cd9d8c24

804e178da6e0088a2a05bfbfdf04 453f53b2fff3cc4a7b928c34d2ebeddc0d95

95d4b896 778 053d6bca170f40b0b406bfd79f0851f27e1c065f9b5c4d1bef361

96 803c9ec9fb0765b70d2fdd945b5507a4ee02 221c0e023b7e9f71fb5bf43a76

b13 939 038ab437abde638c860fcf74 518c7a3741c2edb0ba4c6bd796e8262a22

c5ad7a3f3322f9a266 158cf398 573a4c2bd02ab0 120 275f783b127f0f48cc595

ccf106fadee42ec9cd4570f234b7cdd258cc8f4cc558 325a0c4ec4a49eca6070

e6db31b5a99 374 473de9ffc73 726e637ef57cbe4 178 399e3163a202d6b53b093

3602dcb3dff99b150b8a6f12 457c965b9ec7a883a3ecd455b025 962 346 948fb8

9 444 422ae252d58d039 696b23de816ee6ebe8bcb96 257c3b4718a7c80 256 552e

9d03a2be6eb6645c9590d7060e0fc151 975ac329 224e787e98ae046 502fe74ad

e708b6fffd322a1f024c6af4c65 524a1c0f6c4b1e7ca36 384a25c567d52f5e13

0fbd3fffb7 370 922 419 865da86c34f1d6e846f3c5e1 645 175c0a95efbb6b4105

25a9af3c85cba3ffd5a336cd6f17b82f0cc25e8020a6aed5a36 039fbbd51d4eb

3b2b5251c3fc27fe3b2e1223e5d634edfe3abf63ea9 576 787 335 015c201 899a9

90 307be8bbd4f52 050fb2dc6aac599dd8f0067fd46 500b9374efe2bc596d3e03

2b37 616addfdbc9ba9509f0bd70be3ab13d184c5082e59 640c9df6fcd3 454 465

352c65c2a10 165a5a26 977b3f72a1eb248 987 921fb4ae3 350 542af665bd8ecd9

c043c0936b35a81e0349b359 028e824d58b8b02 292c420dba8ac23 463ede51c4

Дроппер

7ebf9a48fc1ee251c6be9a21e008b7f16d32de17d80cf97ca0fda8b9199fe0b7

Сетевой сканер N.S.

f47e3 555 461 472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446

BAT‑файл

5cfcfecf6639a99bdbadbf083 129ae81f6fa33bfbeb1c3152e161d6d8fd12b70

C2-инфраструктура управления RAT-троянами

196.251.66.118

myhost.servepics.com

myhost.misecure.com

kilimanjaro.theworkpc.com

Инфраструктура, используемая для рассылки вредоносных эл. писем

185.185.70.85

xa-it.ru

it-loms.ru

in-lits.ru

ri-lil.ru

ji-la.ru

it-pips.ru

ji-gops.ru

ut-li.ru

bn-ki.ru

bl-xp.ru

bm-si.ru

bs-ku.ru

nefgi.ru

bj-ki.ru

gd-rl.ru

gc-li.ru

zi-gile.ru

be-blo.ru

x2y4z6a8-b9c0.ru

m5n7o1p3-q4r2.ru

b8c1d4e9-f2g3.ru

u6v9w2×3-y4z7.ru

q9r2s8t1-u4v5.ru

h3i6j0k4-l7m8.ru

t4u5v6w9-x0y1.ru

l9m2n5o3-p4q6.ru

p1q7r8s2-t3u9.ru

n9o2p0q1-r1z4.ru

k1j9p4-t5q3.ru

h4j3k2-a8nips7.ru

b9c1d6-x0yol4.ru

t9u2w3-v5xex1.ru

c3d7e0-l2mis5.ru

y1z4×7-t8bxt2.ru

c6d2e9f4-g3hxas7.ru

v7w4×1y3-z2axl9.ru

d6e3fiz7-h4ti1.ru

x9y5z1-u2t3bn3.ru

j8k9lxds4-p1q6.ru

a4b7c3-f0gl1iz9.ru

l9o2m6-k1siv2j8.ru

s7t1v3-w4sanx9.ru

m6o7l2-w3von8.ru

h6i1g9-d3z1ze8.ru

g7f3h2-p9qua16.ru

reisebuero-ed50765elmann.ru

l7f9v2-n1m4p3.ru

t9u4g7k8d2y8v6-w1×3g92.ru

y8z6×4-a1b6g1o62.ru

r2s5t1-x8y6.ru

t0u5v3-w5jk27zn79×8.ru

m2o9l8-k3jk6v3ol51s4.ru

z8y3g8h9b5n4-a9m5×1r2n.ru

Виктор Казаков

Ведущий специалист группы киберразведки PT ESC Threat Intelligence

Habrahabr.ru прочитано 4755 раз