Эксперты управления киберразведки BI.ZONE обнаружили кампанию группировки Quartz Wolf, нацеленную на российский гостиничный бизнес. Атака была успешно обнаружена и отражена продуктом BI.ZONE CESP. В качестве средства удаленного доступа к скомпрометированным системам атакующие использовали отечественное ПО «АССИСТЕНТ».
Ключевые выводы:
Фишинговые рассылки остаются одним из главных методов получения первоначального доступа в контексте целевых атак.
По умолчанию ОС Windows не отображает расширения файлов, что позволяет атакующим маскировать исполняемые файлы под документы.
В качестве средства удаленного доступа к скомпрометированной системе Quartz Wolf использует отечественное ПО «АССИСТЕНТ», что позволяет группировке эффективно обходить традиционные средства защиты.
Описание кампании
В рамках кампании злоумышленники рассылали фишинговые электронные письма от имени ООО «Федеральный Гостиничный Сервис». Письма содержали ссылку, которая вела на архив с вредоносным файлом (рис. 1).
Файл в архиве представлял собой инсталлятор Inno Setup, содержавший следующие файлы:
компоненты ПО «АССИСТЕНТ»;
файл
quartz.dll
;файл
roh2w3.bmp
;файл
whu3.cfg
;файл
zs3eu.bat
.
Скрипт zs3eu.bat
:
создает папку
C:\Users\[user]\AppData\Roaming\tip
;копирует в нее все файлы из временной папки посредством xcopy;
удаляет запущенный скрипт командой
del /f /q
;запускает ПО «АССИСТЕНТ» (
ast.exe
);удаляет содержимое временной папки командой
rd /s /q
.
ПО «АССИСТЕНТ» загружает вредоносный файл quartz.dll
, который содержит следующую стадию. Эта стадия зашифрована RC4, в качестве ключа используется контрольная сумма MD5 от контрольной суммы CRC32 от адреса командного сервера. Адрес командного сервера содержится в файле whu3.cfg
, который также зашифрован RC4, а в качестве ключа используется контрольная сумма MD5 от контрольной суммы CRC32 от файла roh2w3.bmp
.
Вторая стадия подменяет импорт GetCommandLine
на собственную функцию инициализации и осуществляет следующие действия:
записывает контрольную сумму MD5 от пароля, известного злоумышленникам, в раздел реестра
HKEY_CURRENT_USER\Software\safib\ast\SS
— Security.FixPass;устанавливает всем файлам в текущей директории атрибуты «Скрытый» и «Системный»;
добавляет ПО «АССИСТЕНТ» в автозагрузку путем создания параметра tip в разделе реестра
Software\Microsoft\Windows\CurrentVersion\RunOnce
;создает уникальный идентификатор пользователя путем подсчета контрольной суммы MD5 от суммы контрольных сумм CRC32 версии ОС, имени пользователя и имени компьютера;
получает идентификатор пользователя ПО «АССИСТЕНТ» из раздела реестра
HKEY_CURRENT_USER\Software\safib\ast\SS
— your_id;в цикле отправляет GET-запросы, содержащие идентификатор пользователя ПО «АССИСТЕНТ» и уникальный идентификатор пользователя, на командный сервер;
передает
ast.exe
параметры -AHIDE и -ASTART для скрытого запуска.
На рис. 2 показан скриншот сайта ПО «АССИСТЕНТ».
ПО «АССИСТЕНТ» позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows и т. п.
Выводы
Quartz Wolf продолжает тренд на использование легитимного ПО в качестве средства удаленного доступа к скомпрометированным системам. Такой подход в очередной раз подтверждает свою эффективность, поэтому организациям следует обращать особое внимание на использование подобных средств и подвергать сомнению их легитимность.
Как обнаружить следы Quartz Wolf:
Обращайте внимание на файлы ПО «АССИСТЕНТ», расположенные в нестандартном месте.
Отслеживайте сетевые коммуникации с
id.ассистент[.]рф
на хостах, где ПО «АССИСТЕНТ» не должно быть установлено.Осуществляйте мониторинг массового копирования файлов в подпапки
C:\Users\[user]\AppData\Roaming
средствами xcopy.
MITRE ATT&CK
Тактика | Техника | Процедура |
Initial Access | Phishing: Spearphishing Link | Quartz Wolf использует фишинговые ссылки для получения первоначального доступа |
Execution | User Execution: Malicious File | Жертве необходимо открыть вредоносный файл, чтобы инициировать процесс компрометации |
Command and Scripting Interpreter: Windows Command Shell | Quartz Wolf использует командную строку Windows для выполнения скриптов | |
Persistence | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Quartz Wolf использует раздел реестра Software\Microsoft\Windows\CurrentVersion\RunOnce для закрепления в системе |
Defense Evasion | Hide Artifacts: Hidden Files and Directories | Quartz Wolf устанавливает файлам атрибуты «Скрытый» и «Системный» |
Hijack Execution Flow: DLL Search Order Hijacking | Quartz Wolf использует DLL Search Order Hijacking для загрузки вредоносной библиотеки | |
Indicator Removal: File Deletion | Quartz Wolf удаляет файлы и папки в процессе инсталляции | |
Modify Registry | Quartz Wolf записывает пароль к ПО «АССИСТЕНТ» в реестр | |
Obfuscated Files or Information | Quartz Wolf использует RC4 для обфускации файлов | |
Command and Control | Application Layer Protocol: Web Protocols | Quartz Wolf использует HTTP для коммуникаций с командный сервером |
Remote Access Software | Quartz Wolf использует ПО «АССИСТЕНТ» для взаимодействия со скомпрометированной системой |
Индикаторы компрометации:
hXXp://firstradecare[.]website/7oxr/update.php
a7a1618ba69033848f690bcb7b022cd3d3a9f2850d896a611b1cb76cf6faba5d
adc3f6169d0b16746d5c9542c4cd2be8f12bf367a4bca5373f1e425eed794dad
Фишинговая рассылка — один из главных способов получить первоначальный доступ во время целевых атак. Чтобы защититься от нее, мы рекомендуем пользоваться специализированными решениями, которые блокируют спам и вредоносные письма, например BI.ZONE CESP. А эффективно распознать новые угрозы и оперативно нейтрализовать их помогут сервисы непрерывного мониторинга IT-инфраструктуры, такие как BI.ZONE TDR.