В апреле 2024 года исследователи из The DFIR Report опубликовали отчет, описывающий цепочку атаки вируса-вымогателя Nokoyawa в феврале 2023 года. В ходе анализа информации из этого отчета специалисты F.A.C.C.T. обратили внимание на интересные детали.
До запуска шифровальщика атакующие использовал сервер Cobalt Strike, который был развернут на домене msc-mvc-updates[.]com с IP адресом 91[.]215[.]85[.]183.
Специалисты F.A.C.C.T. отметили, что данный сервер уже фигурировал в других отчетах и атаках. С помощью хантинг правил на инфраструктуру злоумышленников, 11.04.2023 данный сервер был атрибутирован системой F.A.C.C.T. Threat Intelligence к FIN7, поскольку на нем были обнаружены уникальные признаки, выявляемые на серверах FIN7 ранее.
FIN7 — это финансово-мотивированная преступная группа, действующая с 2015 года. По данным исследователей, злоумышленники из FIN7 связаны с использованием программ-шифровальщиков Revil (Sodinokibi), также считается, что из FIN7 нее отделились такие группировки как DarkSide и BlackMatter, запомнившееся своими дерзкими атаками в 2021 году, а эксперты Symantec заявляли, что FIN7 стоит во главе RaaS ALPHV (BlackCat).
По данным исследователей из Symantec, сервер 91[.]215[.]85[.]183 фигурировал в атаке шифровальщика Buhti в феврале 2023.
Buhti – группировка, впервые замеченная в феврале 2023 года, активно эксплуатирующая уязвимости CVE-2023-27350, CVE-2022-47986 и использующая для шифрования данных утекший ранее инструментарий Babuk и LockBit 3.0 (Black), однако для кражи и эксфильтрации данных Buhti использовали собственный инструмент, написанный на Golang.
В статье The DFIR Report атака с использованием данного Cobalt Strike сервера привела к заражению Nokoyawa Ransomware – это появившийся в феврале 2022 года вирус шифровальщик, владельцем партнерской программы которого предположительно является пользователь даркнет-форумов под ником farnetwork.
Приводим конфигурационные файлы Cobalt Strike, обнаруженные системой F.A.C.C.T. Threat Intelligence на исследуемом сервере 91[.]215[.]85[.]183:
Конфиг Cobalt Strike, найденный 17.01.2023
"config_payload":
"http-get.uri": "91.215.85.183,/jquery-3.3.1.min.js",
"stage.cleanup": 1,
"http-get.server.output": "AAAABAAAAAEAAAXyAAAAAgAAAFQAAAACAAAPWwAAAA0AAAAPAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==",
"post-ex.spawnto_x64": "%windir%\sysnative\dllhost.exe",
"post-ex.spawnto_x86": "%windir%\syswow64\dllhost.exe",
"watermark": 206546002,
"sleeptime": 13000,
"publickey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCN5UAJbAA83lOuZlkNoqHDAdV1F7OJnqUiF3kD6mwuXzJzVpu9+f4l/QIUotuiQA+vvxdM3q/XGu77WogAe90LRUknEdoD6YnU32G/ts9dbSwG6HySt7cLn5B3FsomLWjBbssH9e31TihCUvZbK6PRzmLW4SBgZigBWLXZgu7+SwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==",
"http-post.client": "GAccept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Referer: http://code.jquery.com/Accept-Encoding: gzip, deflate__cfduid",
"ssl": true,
"publickey_md5": "30b36f36546ab96c82b296ad6761d624",
"http-post.uri": "/jquery-3.3.2.min.js",
"jitter": 44,
"cookieBeacon": 1,
"text_section": 1,
"port": 443,
"http-get.client": "GAccept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Referer: http://code.jquery.com/Accept-Encoding: gzip, deflate__cfduid=Cookie",
"http-get.verb": "GET",
"proxy_type": 2,
"user-agent": "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"
Конфиг Cobalt Strike, найденный 02.05.2023
"config_payload":
"http-get.uri": "91.215.85.183,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books",
"http-get.server.output": 1048576,
"post-ex.spawnto_x64": "%windir%\sysnative\rundll32.exe",
"post-ex.spawnto_x86": "%windir%\syswow64\rundll32.exe",
"watermark": 674054486,
"sleeptime": 5000,
"publickey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCdklm7jdfoNZRLRiINPrUukMihsTC+79MqgtIWWXfNaxDV8V9aEjmB3sBoMcIdpwXhfrUwa+LLXaeEProFrQu3JMEVvb+VSj5Ewth5SuCID5ziqi75FbriQv6BWMwAb58sv6xRpOc9A59xxMb6B5ABNWbemTBoDEb/BhcHFOQIlwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==",
"http-post.client": "Accept: */*Content-Type: text/xml X-Requested-With: XMLHttpRequestHost: www.amazon.comsz=160x600oe=oe=ISO-8859-1;sns=3717"dc_ref=http%3A%2F%2Fwww.amazon.com",
"ssl": true,
"publickey_md5": "cf002d9ee0e90e71cde6cd6b7fc7e0fa",
"http-post.uri": "/N4215/adj/amzn.us.sr.aps",
"cookieBeacon": 1,
"port": 8443,
"http-get.client": "Accept: */*Host: www.amazon.comsession-token=skin=noskin;,csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996Cookie",
"http-get.verb": "GET",
"proxy_type": 2,
"user-agent": "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
Часть 2. По следам farnetwork
Киберпреступная карьера farnetwork (у него было ранее множество никнеймов, среди которых и farnetworkl), согласно отчету специалистов Group-IB, началась как минимум в 2019 году. Он занимался рядом вредоносных программ, таких как RazvRAT, а также вредоносными программами-шифровальщиками Nemty, Nefilim, Karma. Последним известным детищем злоумышленника была партнерская программа (Ransomware as a Service — RaaS) Nokoyawa, партнеров для которой он искал на андеграундных форумах. Пример сообщения от марта 2023 ниже.
Пример сообщения от марта 2023 ниже.
Всего через 4 месяца после публикации данного сообщения на форуме RAMP, пользователь farnetwork заявил что уходит в инактив, но уже на форуме exploit. Однако, довольно сложно поверить, что farnetwork решил все бросить и перестать заниматься криминальным бизнесом, связанным с вымогателями.
Анализируя сообщения злоумышленников на андеграундных форумах, специалисты F.A.C.C.T. заметили сходства между стилем и тематикой сообщений пользователей с никнеймами farnetwork, rinc, salfetka. Все они так или иначе оказались связаны с программами-вымогателями и поиском доступов в корпоративные сети — подробности в новом блоге.
Ключевые выводы исследования:
пользователи с никнеймами farnetwork, rinc, salfetka – это одно и то же лицо;
злоумышленник периодически меняет свои аккаунты и контакты на андеграундных форумах;
farnetwork ранее был связан с несколькими шифровальщиками, из последних значимых связей – партнерская программа Nokoyawa;
псевдоним rinc является анаграммой от Ransom и INC, отсылка к INC Ransom;
пользователь под псевдонимом salfetka продавал исходные коды INC Ransom;
исследуемый персонаж (farnetwork, rinc, salfetka) уже много лет находится в криминальном бизнесе, связанном с программами-шифровальщиками;
обнаружены также другие псевдонимым злоумышленника — Badbone, Blindman, rd2x45dm;
анализ сетевой инфраструктуры говорит о том, что с участием этого злоумышленника могли совершаться и другие атаки шифровальщиков.
Как оказалось, аккаунтов, под которыми скрывался farnetwork, оказалось еще больше, чем в начале исследования.
Рис. 6. Дерево связей аккаунтов злоумышленника
Подробнее о том, как аналитики F.A.C.C.T. пришли к подобным выводам, читайте в нашем блоге.
