Как стать автором
Обновить
66.34

Импортозамещение для кибератак: новая группировка Quartz Wolf использует старое отечественное ПО

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров2.6K

Эксперты управления киберразведки BI.ZONE обнаружили кампанию группировки Quartz Wolf, нацеленную на российский гостиничный бизнес. Атака была успешно обнаружена и отражена продуктом BI.ZONE CESP. В качестве средства удаленного доступа к скомпрометированным системам атакующие использовали отечественное ПО «АССИСТЕНТ».

Ключевые выводы:

  • Фишинговые рассылки остаются одним из главных методов получения первоначального доступа в контексте целевых атак.

  • По умолчанию ОС Windows не отображает расширения файлов, что позволяет атакующим маскировать исполняемые файлы под документы.

  • В качестве средства удаленного доступа к скомпрометированной системе Quartz Wolf использует отечественное ПО «АССИСТЕНТ», что позволяет группировке эффективно обходить традиционные средства защиты.

Описание кампании

В рамках кампании злоумышленники рассылали фишинговые электронные письма от имени ООО «Федеральный Гостиничный Сервис». Письма содержали ссылку, которая вела на архив с вредоносным файлом (рис. 1).

Рис. 1. Текст письма, которое получали жертвы
Рис. 1. Текст письма, которое получали жертвы

Файл в архиве представлял собой инсталлятор Inno Setup, содержавший следующие файлы:

  • компоненты ПО «АССИСТЕНТ»;

  • файл quartz.dll;

  • файл roh2w3.bmp;

  • файл whu3.cfg;

  • файл zs3eu.bat.

Скрипт zs3eu.bat:

  • создает папку C:\Users\[user]\AppData\Roaming\tip;

  • копирует в нее все файлы из временной папки посредством xcopy;

  • удаляет запущенный скрипт командой del /f /q;

  • запускает ПО «АССИСТЕНТ» (ast.exe);

  • удаляет содержимое временной папки командой rd /s /q.

ПО «АССИСТЕНТ» загружает вредоносный файл quartz.dll, который содержит следующую стадию. Эта стадия зашифрована RC4, в качестве ключа используется контрольная сумма MD5 от контрольной суммы CRC32 от адреса командного сервера. Адрес командного сервера содержится в файле whu3.cfg, который также зашифрован RC4, а в качестве ключа используется контрольная сумма MD5 от контрольной суммы CRC32 от файла roh2w3.bmp.

Вторая стадия подменяет импорт GetCommandLine на собственную функцию инициализации и осуществляет следующие действия:

  • записывает контрольную сумму MD5 от пароля, известного злоумышленникам, в раздел реестра HKEY_CURRENT_USER\Software\safib\ast\SS — Security.FixPass;

  • устанавливает всем файлам в текущей директории атрибуты «Скрытый» и «Системный»;

  • добавляет ПО «АССИСТЕНТ» в автозагрузку путем создания параметра tip в разделе реестра Software\Microsoft\Windows\CurrentVersion\RunOnce;

  • создает уникальный идентификатор пользователя путем подсчета контрольной суммы MD5 от суммы контрольных сумм CRC32 версии ОС, имени пользователя и имени компьютера;

  • получает идентификатор пользователя ПО «АССИСТЕНТ» из раздела реестра HKEY_CURRENT_USER\Software\safib\ast\SS — your_id;

  • в цикле отправляет GET-запросы, содержащие идентификатор пользователя ПО «АССИСТЕНТ» и уникальный идентификатор пользователя, на командный сервер;

  • передает ast.exe параметры -AHIDE и -ASTART для скрытого запуска.

На рис. 2 показан скриншот сайта ПО «АССИСТЕНТ».

Рис. 2. Сайт ПО «АССИСТЕНТ»
Рис. 2. Сайт ПО «АССИСТЕНТ»

ПО «АССИСТЕНТ» позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows и т. п.

Выводы

Quartz Wolf продолжает тренд на использование легитимного ПО в качестве средства удаленного доступа к скомпрометированным системам. Такой подход в очередной раз подтверждает свою эффективность, поэтому организациям следует обращать особое внимание на использование подобных средств и подвергать сомнению их легитимность.

Как обнаружить следы Quartz Wolf:

  1. Обращайте внимание на файлы ПО «АССИСТЕНТ», расположенные в нестандартном месте.

  2. Отслеживайте сетевые коммуникации с id.ассистент[.]рф на хостах, где ПО «АССИСТЕНТ» не должно быть установлено.

  3. Осуществляйте мониторинг массового копирования файлов в подпапки C:\Users\[user]\AppData\Roaming средствами xcopy.

MITRE ATT&CK

Тактика

Техника

Процедура

Initial Access

Phishing: Spearphishing Link

Quartz Wolf использует фишинговые ссылки для получения первоначального доступа

Execution

User Execution: Malicious File

Жертве необходимо открыть вредоносный файл, чтобы инициировать процесс компрометации


Command and Scripting Interpreter: Windows Command Shell

Quartz Wolf использует командную строку Windows для выполнения скриптов

Persistence

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Quartz Wolf использует раздел реестра Software\Microsoft\Windows\CurrentVersion\RunOnce для закрепления в системе

Defense Evasion

Hide Artifacts: Hidden Files and Directories

Quartz Wolf устанавливает файлам атрибуты «Скрытый» и «Системный»


Hijack Execution Flow: DLL Search Order Hijacking

Quartz Wolf использует DLL Search Order Hijacking для загрузки вредоносной библиотеки


Indicator Removal: File Deletion

Quartz Wolf удаляет файлы и папки в процессе инсталляции


Modify Registry

Quartz Wolf записывает пароль к ПО «АССИСТЕНТ» в реестр


Obfuscated Files or Information

Quartz Wolf использует RC4 для обфускации файлов

Command and Control

Application Layer Protocol: Web Protocols

Quartz Wolf использует HTTP для коммуникаций с командный сервером


Remote Access Software

Quartz Wolf использует ПО «АССИСТЕНТ» для взаимодействия со скомпрометированной системой

Индикаторы компрометации: 

hXXp://firstradecare[.]website/7oxr/update.php

a7a1618ba69033848f690bcb7b022cd3d3a9f2850d896a611b1cb76cf6faba5d

adc3f6169d0b16746d5c9542c4cd2be8f12bf367a4bca5373f1e425eed794dad

Фишинговая рассылка — один из главных способов получить первоначальный доступ во время целевых атак. Чтобы защититься от нее, мы рекомендуем пользоваться специализированными решениями, которые блокируют спам и вредоносные письма, например BI.ZONE CESP. А эффективно распознать новые угрозы и оперативно нейтрализовать их помогут сервисы непрерывного мониторинга IT-инфраструктуры, такие как BI.ZONE TDR.

Теги:
Хабы:
Всего голосов 4: ↑2 и ↓20
Комментарии0

Публикации

Информация

Сайт
bi.zone
Дата регистрации
Численность
501–1 000 человек
Местоположение
Россия

Истории