Как стать автором
Обновить
76.92

Раскрыт новый инструмент группы XDSpy, получивший название XDSpy.CHMDownloader

Время на прочтение5 мин
Количество просмотров1.6K

В ходе анализа недавней атаки кибершпионов XDSpy, направленной на российскую и приднестровскую компании, был обнаружен еще один инструмент, получивший название XDSpy.CHMDownloader. Напомним, что 26 июля злоумышленниками было отправлено письмо с темой: “Договоренности, по поручению начальника”. В этот же день на платформу VirusTotal были загружены RAR-архивы через Web-интерфейс из России и Молдовы, предположительно, организации из этих стран и были целями рассылок.

RAR-архив содержит CHM-файл (HTMLHelp (Microsoft Compiled HTML Help)). Например, архив “dogovorennosti_19-07-2024.rar” содержит файл “dogovorennosti_19-07-2024.chm”:

XDSpy.CHMDownloader

CHM-файл является вредоносной программой класса загрузчик (downloader), классифицируемый нами как XDSpy.CHMDownloader.

В CHM-файле находятся служебные файлы, HTM-файл, содержащий вредоносный код, а также файл-приманка в виде изображения JPG. Пример содержимого CHM-файла:

При запуске CHM-файла демонстрируется следующее окно, содержащее информацию о том, что некий документ якобы содержит конфиденциальные данные. Чтобы продолжить исполнение вредоносной программы, пользователю необходимо разрешить выполнение элементов ActiveX.

Функциональные возможности XDSpy.CHMDownloader:

  1. Демонстрация файла-приманки, являющегося JPG-изображением (пример: umUArAREhh.jpg).

  2. Создание Batch-файла в каталоге %Windows%\Tasks (пример: "C:\Windows\Tasks\peKbAEesxt.cmd").

  3. Запуск созданного Batch-файла, которому передается 4 аргумента:   

    - сетевой адрес, с которого загружается полезная нагрузка (на момент исследования файл полезной нагрузки был недоступен) (пример: "hxxps://sbordokumentov[.]com/snirboubd/?n=0fa7HF8H1g7nUYF");   

    - путь, куда сохраняется загруженная полезная нагрузка (пример: "C:\ProgramData\Microsoft\DeviceSync\uvxkhvso"); 

     - строка "User-Agent" и ее значение заголовка User-Agent (пример: "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.0.3705;)").

  4. Проверка существования загруженной полезной нагрузки в скомпрометированной системе. Если файла полезной нагрузки нет, происходит выполнение действия в п.5. В случае, если файл полезной нагрузки существует, выполняются следующие действия:   

    - копирование файла полезной нагрузки из каталога %ProgramData%\Microsoft\DeviceSync в каталог %ProgramData%\USOShared\Logs, к имени файла полезной нагрузки добавлено расширение .exe (пример: WfCvDJZkGO.CopyFile("C:\ProgramData\Microsoft\DeviceSync\uvxkhvso", "C:\ProgramData\USOShared\Logs\uvxkhvso.exe", true));   

    - проверка наличия файла полезной нагрузки с расширением .exe в каталоге %ProgramData%\USOShared\Logs. Если данный файл существует, происходит создание LNK-файла (ярлыка) в каталоге автозагрузки, который отвечает за запуск %ProgramData%\USOShared\Logs[payload_name].exe; 

     - запуск загруженного файла полезной нагрузки с помощью утилиты forfiles.exe (пример: C:\Windows\System32\forfiles.exe /P C:\Windows\System32 /M write.exe /C "C:\ProgramData\Microsoft\DeviceSync\uvxkhvso");

  5. Удаление Batch-файла, если он существует.

Стоит отметить, что строки в HTM-файле зашифрованы алгоритмом XOR с уникальным однобайтовым ключом. В функцию, отвечающую за расшифровку строк, передаются зашифрованная HEX-строка и XOR-ключ. Функция расшифровки и пример ее вызова в HTM-файле представлены на скриншоте ниже:

Файл-приманка (SHA-256: 211f57241221163c87c20363fe7d18183d5ddf67ca056d1daf5b102ef303efe0):

Пример содержимого Batch-файла:

Индикаторы компрометации

Хеши файлов:

dogovorennosti_19-07-2024.rar
MD5: 117c0913f740a5713d565e98036a4c5e
SHA-1: 1d2815dc4bd3436c9794ecdbe45a74bb511c9cb3
SHA-256: 7682f7c9706eeab3c0bd6946d833e13232ca1558cb693efdbff757110b90fced

dogovorennosti_19-07-2024.rar
MD5: f8a10b45b549c9b0156ef455b2dd5417
SHA-1: 77a27b75db4df5787908db53daf89f644169c609
SHA-256: 3880841be68b08a7ee16356ef8cc36b17ed04fd9a906ade36424327a40705488

dogovorennosti_19-07-2024.rar
MD5: 2cee567b571e2a2b4ba857dd5023bdd9
SHA-1: 403f0488bfdfaf6a0e0d97ad23913c0dc424e00c
SHA-256: bcd5edd064fb82fbde53f7991c44056eb3cc1578e754e33d5d70c7b2156df9bb

dogovorennosti_19-07-2024.chm
MD5: 3d9ff777321ea95495e3e70f42143d92
SHA-1: 5675de187cd0aaa435b994dd908ad868c5631d01
SHA-256: 740b7d11c02e633e8ed66fcd6beb4ab1a6f0f294a4af7de6f2b95848e9f05992

dogovorennosti_19-07-2024.chm
MD5: 591f458a00edbfeb9c0251a0f1aa2e30
SHA-1: 2e16ee99a4c08a4c19640e2fe65cbd3148fd971e
SHA-256: 2113fb78e35ec1d64ca769dcc53ced2ce64d61ce80d2cf1634d34a83a71792de

dogovorennosti_19-07-2024.chm
MD5: 9ce74767c7ffd9cc38957a65033bb050
SHA-1: 8b5c37dc7a6d23236c7f61225df11dd32da02592
SHA-256: a08029b0a01228a2a4904da723862dcd0e7b8de2b825bb6a70ec5148737cc5de

bzAqdftlhV.htm
MD5: b2c163f20f9887ec4c1964289404515a
SHA-1: a04517dbda38019170fa32f1e3e49cc75f96a637
SHA-256: cd41a9854aa41fb8cf58e3690cbbda0d15468c70440154581545cf92c9bd90fb

nQaxeSpxMq.htm
MD5: 5b9cfd8f0b639230a4fe27abfcceb2ec
SHA-1: 61b1f930b3d2d241f35da9609c8e9bda85215dd2
SHA-256: 62398243c84f3d2bc9a307d2e766d7b4080a8117592fd5e51883c06adad771a6

oHNqUGTZqc.htm
MD5: d4df8d63c67e9fcf3a65c483cc889039
SHA-1: 16b735b59d45edb5a7bb7f5a34115240d70d0365
SHA-256: 893cd0d61f7a1e3f931a9b616dbb32e5430d681ef3f5043744238ca1f94348ff

awKYcNYRDX.cmd
MD5: c306c1443de725d11871dca3f9716e71
SHA-1: 49385b741f8f8204567bb3b2296d46734a7fa108
SHA-256: d8e6264feef9126f833a1b4cb74ce977a67db416b00daa5f9ba5891fd5dad3f7

jGFgeuQzyq.cmd
MD5: 157784b01e60ef6bf106645257ae8cd5
SHA-1: 41f3aa5ef440fed3657c7ee332acdb100441699f
SHA-256: 4f1df073e6ff6f1c55ac2d193b9157c0973ae8e76d0b5fc407682bf3c7d70428

peKbAEesxt.cmd
MD5: acc18a26d06e4e8cf2399a36e70fdc0c
SHA-1: 1c45fcde687672ee0e9e4b8b5ebd09113c7249f4
SHA-256: 3b7520ce882e24d5d94d08a7c92aecce4b3eb7758e417d2056968d9bf7de24a0

Домен:

  • sbordokumentov[.]com

IP-адрес:

  • 159.100.6[.]5

URL:

  • hxxps://sbordokumentov[.]com/snirboubd/?n=0fa7HF8H1g7nUYF

  • hxxps://sbordokumentov[.]com/snirboubd/?n=0qr3XsMexKKTgYw

  • hxxps://sbordokumentov[.]com/snirboubd/?n=0hCxnTknN9FM7kA

  • hxxps://sbordokumentov[.]com/snirboubd/?n=uqErx7HfvR6d4m

  • hxxps://sbordokumentov[.]com/snirboubd/?n=ttsOrySoJY0HQO

  • hxxps://sbordokumentov[.]com/snirboubd/?n=vQO4yoJ5ndrPPO

  • hxxps://sbordokumentov[.]com/snirboubd/?n=rR7CBBVIObk4TG

  • hxxps://sbordokumentov[.]com/snirboubd/?n=vAR1Xp9BG2nStq

  • hxxps://sbordokumentov[.]com/snirboubd/?n=ygTQMPQdzlcZ9E

Дополнительные индикаторы компрометации

Пути к файлам:

%Windows%\Tasks\[a-zA-Z]{10}.cmd:

  • %Windows%\Tasks\peKbAEesxt.cmd

  • %Windows%\Tasks\jGFgeuQzyq.cmd

  • %Windows%\Tasks\awKYcNYRDX.cmd

%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[a-zA-Z]{10}.lnk:

  • %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\peKbAEesxt.lnk

  • %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jGFgeuQzyq.lnk

  • %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\awKYcNYRDX.lnk

%ProgramData%\Microsoft\DeviceSync\uvxkhvso

%ProgramData%\USOShared\Logs\uvxkhvso.exe

Теги:
Хабы:
Всего голосов 2: ↑2 и ↓0+4
Комментарии0

Другие новости

Информация

Сайт
www.facct.ru
Дата регистрации
Дата основания
Численность
501–1 000 человек
Местоположение
Россия