Салют, Хабр! На связи вновь команда киберразведки экспертного центра безопасности Positive Technologies и мы с новым расследованием, которое... как любое, наверно, детективное дело имеет свои предпосылки и всевозможные зацепки. Речь пойдет о группировке PhantomCore и ее темном прошлом, тайны которого мы извлекли на свет...
Напоминание из настоящего
В июне мы написали про варианты так называемых Exchange-кейлоггеров. И в этом же исследовании было упомянуто несколько кейлоггеров с отправкой собранных данных на сервер злоумышленников. Среди них был один, который отправлял данные на browser.anaiytics.org через заголовки запросов.
Чуть позднее, примерно через неделю, был обнаружен идентичный кейлоггер, отличающийся от первого только внешним сервером.
Оба сервера скрыты за сервисом Cloudflare, поэтому настоящий IP-адрес получить не так просто. Однако для одного из серверов это сделать получилось. Дело в том, что при переходе на вредоносный домен без нужных заголовков выдается ошибка 403 со следующим телом ответа.
{"detail":"Missing required headers"}Благодаря поиску в системах сетевой разведки удалось установить несколько IP-адресов, которые потенциально относятся к вышеуказанным доменам:
45.87.245.19 (неактивен в системах с марта)
91.239.148.213 (активен на данный момент)
На обоих серверах с указанными IP-адресами было развернуто Django-приложение с использованием Uvicorn в качестве ASGI-сервера. При обращении на 80 порт они возвращали идентичный ответ.
Шаг в машину времени
Среди других особенностей сетевой инфраструктуры нужно выделить WHOIS-информацию о домене browser.anaiytics.org.
На основе этих данных (имя и фамилия или почта) были получены другие домены:
voen-pravoru.online
bi-zone.com
voen-pravo.online
С доменом voen-pravo.online связана ссылка на скачивание архива CalculatorVyplatSetup_1.0.6.zip. Ссылка фигурировала на фишинговой странице домена дискусс.рф, которая была скопирована с официального сайта «Правового уголка офицера» (voen-pravo.ru).
Поиск следов в прошлом
Сам архив защищен паролем 123213 и содержит единственный бинарный установщик со следующими файлами.
Приложение написано с использованием фреймворка Qt, собрано в декабре 2024 года и имеет пользовательский интерфейс, мимикрирующий под калькулятор выплат.
Самое интересное устанавливается на заднем плане — сервис UpdateService, запускаемый в автоматическом режиме.
sc create "UpdaterService" binpath= "C:\Program Files (x86)\CalculatorVyplat\UpdaterService.exe" start= autoСервис использует библиотеку Qt и создает объект таймера, который каждые 2 минуты взаимодействует с С2-сервером следующим образом:
Формирует JSON-файл с идентификационными данными зараженного узла (это USERDOMAIN и сгенерированный случайный 36-символьный UUID) и POST-запросом отправляет его на C2-сервер http://185.130.251.252/ping. Получив ответ от сервера, выводит его в консоль: resive:\n <serv_reply>. Ответ может содержать:
§ none — продолжить опрашивать C2-сервер в цикле
§ install <filename>
Выполняет POST-запрос, в параметрах которого содержится UUID, к URL http://185.130.251.252/starter, ожидая получить в ответ URL для дальнейшего скачивания полезной нагрузки.
Скачивает файл с адреса <url>/<filename> и сохраняет его в одну из следующих папок:
§ %APPDATA%\Microsoft\Windows\ (если есть права на запись)
§ C:\Users\Public\
Запускает полученный вредоносный модуль и отправляет GET-запрос с UUID по ссылке http://185.130.251.252/finisher.
Помимо этого, обнаружено несколько особенностей данного загрузчика:
Собран в режиме отладки. Выводит строки в консоль и в отдельный файл service_log.txt. Формат сообщений в файле следующий: YYYY-MM-DD HH:MM:SS:MMM\t<log_message>.
Большинство строк зашифровано с применением циклического XOR на уникальном ключе длиной 8 байт.
Имеет команду help (список команд — ниже).
В приложении калькулятора выплат обнаружена ссылка на Telegram-канал, последняя активность была в мае 2024 года. В описании указан ненастоящий аккаунт практикующего адвоката.
Исходя из даты создания файла и логики работы загрузчика мы пришли к выводу, что это PhantomDL v.3. Таким образом, удалось подтвердить, что это вредоносное ПО с высокой вероятностью относится к группировке PhantomCore. Значит, WHOIS-информация, найденная на доменах ранее, также принадлежит ей, как и Exchange-кейлоггеры с отправкой данных в HTTP-заголовках.
Последствия прыжка во времени. Жертвы кейлоггеров
За последние месяцы выявлено 10 жертв, на серверах которых находится ранее рассмотренный Exchange-кейлоггер. Все жертвы — компании на территории России, занимающиеся либо IT-консалтингом, либо разработкой IT-решений. Количество учетных записей, собранных с систем жертв, превышает 5000.
P. S. Прыжок во времени — малая часть нашего большого исследования группировки PhantomCore. О находках расскажем совсем скоро.
Рекомендации по обнаружению и защите
Провести контроль целостности и анализ файлов, связанных с аутентификацией пользователей, например C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\logon.aspx.
Просканировать папки Microsoft Exchange Server (в частности, /owa/auth/) YARA-правилами на веб-шеллы и подозрительные страницы и вручную проанализировать обнаруженные файлы на предмет вредоносного кода. Подборки таких правил можно найти в публичном доступе.
Индикаторы компрометации
Сетевые индикаторы
IP-адрес / домен | Назначение |
meet.ibs.events | C2-сервер для кейлоггера |
browser.anaiytics.org | С2-сервер для кейлоггера |
91.239.148.213 | C2-сервер для кейлоггера (browser.anaiytics.org) |
voen-pravoru.online | opendir для распространения ВПО |
voen-pravo.online | opendir для распространения ВПО |
bi-zone.com | opendir для распространения ВПО |
дискусс.рф | Фишинговая страница |
fame-nodes.ru | Связанный домен |
famesborka.ru | Связанный домен |
aezis.ru | Связанный домен |
aventrix.ru | Связанный домен |
hostmc.ru | Связанный домен |
examplehost.ru | Связанный домен |
loot-craft.ru | Связанный домен |
ркнс.рф | Связанный домен |
кино-музыка.рф | Связанный домен |
Файловые индикаторы
Имя файла | MD5 | SHA-1 | SHA-256 |
CalculatorVyplatSetup_1.0.6.zip | 3fcbc0ffc1f860a98f5b00d007b701c6 | 7ddd66dbcb3dd6fd74e14fc04676b44e1ff149d2 | 06ae2986402f0cb9ca03e4b1d9d09430d32aaccda8b016d3e6801bef3fb1f8b4 |
Климентий Галкин
Cпециалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies
