Эксперты управления киберразведки BI.ZONE обнаружили кампанию группировки Quartz Wolf, нацеленную на российский гостиничный бизнес. Атака была успешно обнаружена и отражена продуктом BI.ZONE CESP. В качестве средства удаленного доступа к скомпрометированным системам атакующие использовали отечественное ПО «АССИСТЕНТ».

Ключевые выводы:

  • Фишинговые рассылки остаются одним из главных методов получения первоначального доступа в контексте целевых атак.

  • По умолчанию ОС Windows не отображает расширения файлов, что позволяет атакующим маскировать исполняемые файлы под документы.

  • В качестве средства удаленного доступа к скомпрометированной системе Quartz Wolf использует отечественное ПО «АССИСТЕНТ», что позволяет группировке эффективно обходить традиционные средства защиты.

Описание кампании

В рамках кампании злоумышленники рассылали фишинговые электронные письма от имени ООО «Федеральный Гостиничный Сервис». Письма содержали ссылку, которая вела на архив с вредоносным файлом (рис. 1).

Рис. 1. Текст письма, которое получали жертвы

Файл в архиве представлял собой инсталлятор Inno Setup, содержавший следующие файлы:

  • компоненты ПО «АССИСТЕНТ»;

  • файл quartz.dll;

  • файл roh2w3.bmp;

  • файл whu3.cfg;

  • файл zs3eu.bat.

Скрипт zs3eu.bat:

  • создает папку C:\Users\[user]\AppData\Roaming\tip;

  • копирует в нее все файлы из временной папки посредством xcopy;

  • удаляет запущенный скрипт командой del /f /q;

  • запускает ПО «АССИСТЕНТ» (ast.exe);

  • удаляет содержимое временной папки командой rd /s /q.

ПО «АССИСТЕНТ» загружает вредоносный файл quartz.dll, который содержит следующую стадию. Эта стадия зашифрована RC4, в качестве ключа используется контрольная сумма MD5 от контрольной суммы CRC32 от адреса командного сервера. Адрес командного сервера содержится в файле whu3.cfg, который также зашифрован RC4, а в качестве ключа используется контрольная сумма MD5 от контрольной суммы CRC32 от файла roh2w3.bmp.

Вторая стадия подменяет импорт GetCommandLine на собственную функцию инициализации и осуществляет следующие действия:

  • записывает контрольную сумму MD5 от пароля, известного злоумышленникам, в раздел реестра HKEY_CURRENT_USER\Software\safib\ast\SS — Security.FixPass;

  • устанавливает всем файлам в текущей директории атрибуты «Скрытый» и «Системный»;

  • добавляет ПО «АССИСТЕНТ» в автозагрузку путем создания параметра tip в разделе реестра Software\Microsoft\Windows\CurrentVersion\RunOnce;

  • создает уникальный идентификатор пользователя путем подсчета контрольной суммы MD5 от суммы контрольных сумм CRC32 версии ОС, имени пользователя и имени компьютера;

  • получает идентификатор пользователя ПО «АССИСТЕНТ» из раздела реестра HKEY_CURRENT_USER\Software\safib\ast\SS — your_id;

  • в цикле отправляет GET-запросы, содержащие идентификатор пользователя ПО «АССИСТЕНТ» и уникальный идентификатор пользователя, на командный сервер;

  • передает ast.exe параметры -AHIDE и -ASTART для скрытого запуска.

На рис. 2 показан скриншот сайта ПО «АССИСТЕНТ».

Рис. 2. Сайт ПО «АССИСТЕНТ»

ПО «АССИСТЕНТ» позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows и т. п.

Выводы

Quartz Wolf продолжает тренд на использование легитимного ПО в качестве средства удаленного доступа к скомпрометированным системам. Такой подход в очередной раз подтверждает свою эффективность, поэтому организациям следует обращать особое внимание на использование подобных средств и подвергать сомнению их легитимность.

Как обнаружить следы Quartz Wolf:

  1. Обращайте внимание на файлы ПО «АССИСТЕНТ», расположенные в нестандартном месте.

  2. Отслеживайте сетевые коммуникации с id.ассистент[.]рф на хостах, где ПО «АССИСТЕНТ» не должно быть установлено.

  3. Осуществляйте мониторинг массового копирования файлов в подпапки C:\Users\[user]\AppData\Roaming средствами xcopy.

MITRE ATT&CK

Тактика

Техника

Процедура

Initial Access

Phishing: Spearphishing Link

Quartz Wolf использует фишинговые ссылки для получения первоначального доступа

Execution

User Execution: Malicious File

Жертве необходимо открыть вредоносный файл, чтобы инициировать процесс компрометации


Command and Scripting Interpreter: Windows Command Shell

Quartz Wolf использует командную строку Windows для выполнения скриптов

Persistence

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Quartz Wolf использует раздел реестра Software\Microsoft\Windows\CurrentVersion\RunOnce для закрепления в системе

Defense Evasion

Hide Artifacts: Hidden Files and Directories

Quartz Wolf устанавливает файлам атрибуты «Скрытый» и «Системный»


Hijack Execution Flow: DLL Search Order Hijacking

Quartz Wolf использует DLL Search Order Hijacking для загрузки вредоносной библиотеки


Indicator Removal: File Deletion

Quartz Wolf удаляет файлы и папки в процессе инсталляции


Modify Registry

Quartz Wolf записывает пароль к ПО «АССИСТЕНТ» в реестр


Obfuscated Files or Information

Quartz Wolf использует RC4 для обфускации файлов

Command and Control

Application Layer Protocol: Web Protocols

Quartz Wolf использует HTTP для коммуникаций с командный сервером


Remote Access Software

Quartz Wolf использует ПО «АССИСТЕНТ» для взаимодействия со скомпрометированной системой

Индикаторы компрометации: 

hXXp://firstradecare[.]website/7oxr/update.php

a7a1618ba69033848f690bcb7b022cd3d3a9f2850d896a611b1cb76cf6faba5d

adc3f6169d0b16746d5c9542c4cd2be8f12bf367a4bca5373f1e425eed794dad

Фишинговая рассылка — один из главных способов получить первоначальный доступ во время целевых атак. Чтобы защититься от нее, мы рекомендуем пользоваться специализированными решениями, которые блокируют спам и вредоносные письма, например BI.ZONE CESP. А эффективно распознать новые угрозы и оперативно нейтрализовать их помогут сервисы непрерывного мониторинга IT-инфраструктуры, такие как BI.ZONE TDR.