Российские компании продолжают оставаться не только объектами кибершпионажа, но и целью атак со стороны финансово мотивированных злоумышленников. В октябре 2024 года наш департамент киберразведки экспертного центра безопасности Positive Technologies выявил и отследил ранее не известную группировку. Мы назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon. Злоумышленники атакуют финансовые подразделения российских организаций как минимум с мая 2023 года. Что «змеиного» у этой группы киберпреступников, как им удавалось оставаться незамеченными и на чем все-таки попалась группировка – рассказываем в этой статье.
Первая обнаруженная атака и что в ней интересного
В середине октября прошлого года мы зафиксировали таргетированную рассылку Revenge RAT сотрудникам одного российского банка. Они получили электронное письмо с заголовком «Сверка взаиморасчетов», содержащее сопроводительный текст на русском языке и архив-приманку «Акт сверка.z». Надо отметить, что текст грамотный с точки зрения синтаксиса и пунктуации. Для рассылки был использован украденный электронный адрес, но в день атаки, после успешной отправки нескольких образцов вредоноса, он был заблокирован провайдером сервиса электронной почты.
Наше внимание привлекла группа из 11 семплов Revenge RAT и связанных с ними восемь Dynamic DNS доменов кластера с "африканским" названием kilimanjaro. Мы провели исследование и поняли, что аналогичная активность в отношении российских компаний прослеживается как минимум с мая 2023 года. Однако ранее – до октября 2024-ого – в качестве управляющей инфраструктуры использовался один Dynamic DNS домен и группа сменяющихся в среднем один раз в месяц управляющих серверов кластера rampage. Домены из обоих кластеров (и rampage, и kilimanjaro) были делегированы одному расположенному на территории Болгарии серверу с разницей во времени в одну неделю.
Кроме того, соответствующие кластерам rampage и kilimanjaro образцы вредоноса имеют схожие названия и используют одинаковые способы доставки, сопутствующие файлы-приманки и поддельные сертификаты X.509. Также удалось обнаружить общую заметку на pastebin.com, к которой за дополнительной информацией об управляющей инфраструктуре обращались семплы, использованные в атаках 2023 и 2024 годов. Все это подтверждает использование кластеров rampage и kilimanjaro одной группировкой.
Как «змеиная» дисциплина помогала оставаться в тени и что пошло не так
DarkGaboon стабильно обновляла используемые комплекты файлов, ежемесячно выпуская в свет в среднем около 10 новых вредоносных сборок с Revenge RAT и пропорциональное им количество файлов-приманок. Регулярное «сбрасывание старой шкуры» позволили группировке более полутора лет скрытно атаковать российские компании, не прибегая к изощренным методикам и редкому вредоносному ПО.
В августе 2024 года кластер rampage попал в фиды с индикаторами компрометации от FinCERT, дальнейшее его использование злоумышленниками стало небезопасным. Полагаем, именно этим обусловлена резкая замена управляющего Dynamic DNS домена из кластера rampage целой группой приемников из кластера kilimanjaro, а также ошибки, допущенные группировкой в спешке, которые и позволили идентифицировать связь указанных кластеров.
Отличительные особенности группировки DarkGaboon
Теперь расскажем, какие артефакты помогли нам заметить группировку на общем фоне всей киберактивности с использованием Revenge RAT.
Пробел в написании слова «прикрепленном». Полагаем, что ошибка возникла при наборе текста вручную, так как онлайн-переводчики не допускают подобной описки.
Вредоносное письмо Все 43 вариации документов-приманок Microsoft Office сгенерированы путем незначительных модификаций четырех шаблонов, скачанных с российских интернет-ресурсов финансовой направленности. Вероятно, таким образом злоумышленники изменяли хеш-суммы файлов-приманок и избегали обнаружения атак по признаку использования одних и тех же приманок, ранее попавших в антивирусные базы.
Подавляющее большинство обнаруженных семплов имеет русскоязычные названия, связанные с бухгалтерской отчетностью: Aкт cвepки взaимopacчeтoв за периoд 01.11.2023 - 29.12.2023 гoдa.exe, Cчeт нa oплaтy №39 от 02.04.2024 гoда.exe, Договор на оказание услуг № 171от 30 августа 2024 года.exe, Сверка.rar и другие.
С августа 2024 года DarkGaboon использует омоглифы (графически идентичные или похожие друг на друга знаки) в названиях вредоносных семплов, делая их незаметными для строгих поисковых правил, нацеленных на файлы исключительно с кириллическими названиями. А еще это придает им подобную змеиной шкуре «пятнистость». Эту технику мы обнаружили в названиях 84% семплов Revenge RAT.
Омоглифы в названии семпла Revenge RAT Все семплы Revenge RAT, используемые группировкой DarkGaboon, подписаны поддельными сертификатами X.509, владельцы которых в большинстве своем имеют русские названия. В частности, используются бухгалтерские термины (Акт сверки и т.д.) и их транслитерация (sverka и т.д.), названия популярных в финансовой сфере продуктов «1С» (1C-connect и т.д.), российских IT-компаний (Yandex LLC и т.д.), российских городов и другие.
Вишенка на торте – сертификат X.509 с весьма непристойным именем владельца, подчеркивающим знание участниками DarkGaboon русскоязычной обсценной лексики.
🧐 Отдельная группа сертификатов X.509 посвящена американским городам и штатам (Alabama, Boston, Dakota, Detroit, Nevada), а также брендам (Marvel, Coca Cola), однако никаких признаков их использования для атак на пользователей из США мы не выявили
Также DarkGaboon использует и весьма популярные в киберпреступной среде сертификаты, это связано с применением группировкой популярных криптеров для обфускации (запутывания) и подписания вредоносного кода.
Перечисленные особенности, а также то что почти половина всех загрузок семплов на публичные сервисы проверки файлов приходится на Россию, указывают на явную направленность атак DarkGaboon на российские компании. В ходе исследования мы определили и уведомили жертв группировки, среди которых были кредитно-финансовые учреждения, крупные торговые сети, объекты спорта и туризма, а также компании сферы услуг.
Мы также считаем, что сами злоумышленники, скорее всего, – носители русского языка. Обнаруженные нами артефакты прямо указывают на отсутствие у членов DarkGaboon проблем в написании и чтении текстов на русском языке, серфинге в рунете, составлении русскоязычных названий документов и использовании русскоязычной обсценной лексики.
Заключение
Кейс группировки DarkGaboon показывает, что, мимикрируя, подобно гадюке, под окружающую среду с помощью общедоступного вредоносного инструментария и пряча свои цифровые следы в «зарослях» иной преступной киберактивности, злоумышленники могут оставаться незамеченными более полутора лет.
Вероятно, DarkGaboon не планирует останавливаться на достигнутом и продолжит наносить «змеиные укусы» финансовым подразделениям российских компаний. Об этом нам говорит стабильное обновление группировкой наступательного арсенала. Мы продолжим следить за злоумышленниками и предупреждать жертв о готовящихся кибератаках.
А пока считаем нужным напомнить важные рекомендации по защите от подобных кибератак:
проверяйте вложения электронных писем до их открытия с помощью лицензированных средств защиты с актуальными и регулярно обновляющимися базами сигнатур;
насторожитесь, если отсутствует история переписки с отправителем, он не является контрагентом, использует электронный адрес с нестандартным доменом, акцентирует внимание на срочности дела и особенно подчеркивает названия госучреждений, регуляторов, надзорных ведомств;
помните: если файл содержит в конце названия несколько расширений, разделенных точкой, или его значок не соответствует реальному расширению – это верный при знак кибератаки.
С вердиктами наших продуктов, индикаторами компрометации и сигнатурами для обнаружения образцов ВПО можно ознакомиться в расширенной версии исследования.
Казаков Виктор
Ведущий специалист группы киберразведки TI-департамента экспертного центра безопасности, Positive Technologies
