«Хм, атаки через почту — прошлый век», — подумали в группе Watch Wolf и взялись за SEO-продвижение вредоносов. Мы обнаружили, что троян Buhtrap теперь распространяется через фейковые сайты с якобы полезными материалами для бухгалтеров. Проплаченная реклама поднимает эти ресурсы в топ поисковой выдачи.
Эксперты управления киберразведки BI.ZONE зафиксировали кампанию группы Watch Wolf, нацеленную на компрометацию рабочих станций бухгалтеров российских компаний с целью последующего вывода денежных средств через онлайн-банкинг.
Хотя группа активна с ноября 2021 года, в рамках прошлых кампаний распространение вредоносного программного обеспечения осуществлялось через фишинговые рассылки.
В рамках текущей кампании, которая началась не ранее ноября 2022 года, злоумышленники изменили метод распространения и прибегли к отравлению поисковой выдачи (SEO poisoning). Данный метод реализуется через добавление на сайты, распространяющие ВПО, ключевых слов, позволяющих им попадать на первую страницу поисковой выдачи при определенных запросах. Кроме того, достичь цели злоумышленникам может помочь покупка контекстной рекламы.
Атакующие создали сайты, имитирующие ресурсы для бухгалтеров, с которых можно загрузить различные документы, после чего с помощью SEO poisoning и покупки рекламы вывели сайты на первую страницу поисковой выдачи (рис. 1).
После перехода на сайт жертве предлагается загрузить искомый документ в одном из популярных форматов, например Microsoft Excel (рис. 2).
После перехода по ссылке жертва загружает файл, но не тот, что указан в описании, а SFX-архив, содержащий вредоносное программное обеспечение. При этом файл размещен не на самом сайте: вместо этого используется система размещения контента мессенджера Discord.
Запуск загруженного файла приводит к инсталляции бэкдора DarkWatchman. Данное ВПО представляет собой JS-скрипт, который размещается в папке C:\Users\%имя_пользователя%\AppData\Local\ и запускается посредством wscript.exe, например:
wscript.exe "C:\Users\user\AppData\Local\c784477d0.js" add_keyadd_key — ключ для расшифровывания тела JS-скрипта.
Для достижения персистентности в скомпрометированной системе ВПО создает задачу в планировщике Windows, после чего при наличии необходимых прав удаляет теневые копии следующей командой:
vssadmin.exe Delete Shadows /All /QuietБэкдор использует ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM для хранения конфигурационной информации. В этот ключ в том числе записывается тело кейлогера, закодированное в Base64-строку. После старта бэкдор запускает кейлогер с помощью PowerShell-команды:
powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc QQBkAGQALQBUAHkAcABlACAALQBUAHkAcABlAEQAZQBmAGkAbgBpAHQAaQBvAG4AIABAACIADQAKAHUAcwBpAG4AZwAgAFMAeQBzAHQAZQBtADsAdQBzAGkAbgBnACAATQBpAGMAcgBvAHMAbwBmAHQALgBXAGkAbgAzADIAOwB1AHMAaQBuAGcAIABTAHkAcwB0AGUAbQAuAEkAT<redacted>Используя реестр и инструментарий управления Windows, бэкдор собирает информацию о версии операционной системы, имени компьютера и пользователя, часовом поясе и языке, а также информацию об инсталлированных антивирусных программах и отправляет собранные данные на командный сервер.
Бэкдор позволяет атакующим в том числе запускать исполняемые файлы, загружать библиотеки, выполнять сценарии через различные интерпретаторы, а также загружать файлы и обновлять как свой код, так и код кейлогера.
Бэкдор генерирует адрес сервера управления из фрагментов, имеющихся в коде. К 20 сгенерированным доменам прибавляются еще 100, которые генерируются на основе текущей даты в UTC следующего формата: Tue, 04 Apr 2023 13:21:56 GMT. Дата используется для получения соли, которая конкатенируется с имеющейся в коде солью и порядковым номером генерируемого доменного имени. Например, Tue,04Apr20234d5e2eb0{i}, где i — порядковый номер от 0 до 100. От каждого такого значения считается сумма CRC-32, которая конвертируется в строку в HEX-формате. Так получается 120 доменных имен. Далее к полученной строке добавляется домен верхнего уровня, обычно их 3 или 4.
Таким образом за одни сутки может быть сгенерировано от 360 до 480 адресов, которые потенциально могут оказаться серверами управления бэкдора. После того как сформирован массив потенциальных серверов управления, бэкдор начинает искать активный, отправляя в заголовке HTTP-запроса UID жертвы, ожидая получить этот же UID в ответ.
Примечательно, что в ходе расследования инцидентов, связанных с атаками Watch Wolf, мы идентифицировали, что DarkWatchman использовался для доставки в скомпрометированные системы другого популярного ВПО — Buhtrap, а также дополнительных модулей, например VNC, который позволял злоумышленникам получить удаленный доступ к скомпрометированному компьютеру.
Говоря о Buhtrap, нужно отметить, что данный троян активен с 2014 года и также используется для осуществления целевых атак на бухгалтеров организаций различных вертикалей.
Ущерб от подобных атак зависит от величины организации, а также величины средств, которые злоумышленники могут перевести на подконтрольные счета. При этом в некоторых случаях атакующим удавалось выводить несколько десятков миллионов рублей, а ущерб за все время работы группы может достигать 7 миллиардов рублей.
Когда Buhtrap распространяли по почте, противостоять атакам помогало обучение сотрудников. В случае с SEO poisoning это вряд ли сработает, так что вся надежда на специнструменты. Например, BI.ZONE Secure DNS работает так: пользователь делает запрос, который сначала поступает на сервер BI.ZONE. Там этот запрос анализируется на легитимность с помощью черных и белых списков. Если все ok, пользователь перенаправляется на нужный ресурс. А если нет, запрос блокируется. Выявлять нелегитимные обращения помогут не только превентивные средства, но и центр мониторинга кибербезопасности BI.ZONE TDR.
