Климентий Галкин
Младший специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies
Станислав Пыжов
Ведущий специалист группы исследования угроз TI-департамента экспертного центра безопасности Positive Technologies
В феврале специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки и активную с сентября 2024 года. Для распространения ВПО злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой, содержащие ссылки на файлообменник или Telegram-канал. По этим ссылкам располагается ВПО AsyncRAT, модифицированное для поиска криптокошельков и взаимодействия с Telegram-ботом. Похожую кампанию в 2019 году описали эксперты из компании Check Point, но сейчас наблюдается изменение некоторых техник в цепочке атаки.
Подробное изучение инцидентов и жертв показало, что наиболее атакуемыми странами являются Египет, Ливия, ОАЭ, Россия, Саудовская Аравия и Турция. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых. О том, какую цепочку атаки подготовили злоумышленники, рассказано в нашей статье.
В процессе исследования мы выяснили, что злоумышленники создают временные аккаунты и новостные каналы в Facebook*. Позже в этих каналах публикуются посты, примеры которых представлены ниже.
В ленте пользователя реклама выглядит следующим образом.
Злоумышленники обходят правила фильтрации рекламы в Facebook*, зависящие от страны, в которой находится пользователь. Выдержка из правил размещения рекламы представлена ниже.
Текст одного из постов на арабском:
عاجل | تقرير مسرّب من مخا.ـبرات الاسرائـ ـ.ـيلية تكشف عن اجتماع سـ ـ.ـري بين مسؤول إماراتي "طحـ.ـن ون بن زايد" مع مسؤول سوري "ما.هر الأسد" يكشف ان هناك تخطيط لدخول سوريا باستعانة طائرات اسر.ائـ ـيلية بدعم إماراتي .
لإطلاع على التقرير المسرب : https://files.fm/f/fgcnsf7r8v
Перевод на английский:
Urgent | A leaked report from Israeli intelligence reveals a secret meeting between an Emirati official "Tahna Bin Zayed" and a Syrian official "Maher Al-Assad" revealing that there is a plan to enter Syria with the help of Israeli aircraft with Emirati support. To view the leaked report: https://files.fm/f/fgcnsf7r8v
В рекламе также указывается ссылка либо на сервис Files.fm, либо на Telegram-каналы, в которых размещен вредоносный файл (рис. 5). В названиях этих каналов можно заметить одну особенность — мимикрию под существующие СМИ:
Цепочка атаки — многоступенчатая. Жертва получает RAR-архив из Telegram-канала или по ссылке из рекламного сообщения. Архив содержит один или два файла с расширением .bat или один файл с расширением .js. Их задача — запустить PowerShell-скрипт, который либо скачивается, либо извлекается из JavaScript-файла, для начала второй стадии атаки.
Стоит отметить, что комментарии в JavaScript-файле написаны на арабском языке. Это может говорить о происхождении атакующего.
На второй стадии атаки PowerShell-скрипт завершает процессы, связанные с сервисами .NET Framework и способные помешать запуску ВПО:
Затем он удаляет файлы с расширениями .bat, .ps1 и .vbs из папок C:\ProgramData\WindowsHost и C:\Users\Public и создает .vbs-файл в папке C:\ProgramData\WindowsHost и файлы с расширениями .bat и .ps1 в C:\Users\Public, которые работают последовательно.
Для закрепления в системе скрипт подменяет в реестре пользователя папку автозагрузки на C:\ProgramData\WindowsHost через значение Startup в ключах Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders и Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders. После этого PowerShell-скрипт генерирует GUID инсталляции ВПО и сохраняет его в файл %APPDATA%\device_id.txt, собирает информацию о системе и отправляет ее в Telegram-бот злоумышленников в следующем формате:
Hack By WORMS:
- Device ID: <GUID инсталляции ВПО>
- HWID: <Идентификатор процессора или материнской платы>
- Public IP: <Внешний IP-адрес>
- Country: <Страна>
- Username: <Имя пользователя>
- Computer Name: <Имя компьютера>
- Antivirus: <Название установленного антивирусного ПО>
Скрипт снимает скриншот экрана, сохраняет его в файл %TEMP%\screenshot.png и отправляет в Telegram-бот.
После всех подготовительных действий скрипты Visual Basic, Batch и PowerShell запускаются по порядку для выполнения полезной нагрузки в памяти. В итоге декодируется собственный рефлексивный загрузчик, написанный на C#, и происходит попытка внедрить код: сначала в C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe, а при его отсутствии — в C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe. Полная цепочка атаки представлена на рис. 9.
Эта версия AsyncRAT использует модифицированный модуль IdSender, который собирает информацию о наличии расширения для двухфакторной аутентификации и следующих расширений криптокошельков в браузерах:
AsyncRAT также собирает информацию о наличии следующего ПО для управления криптокошельками:
Кроме того, в эту модификацию AsyncRAT встроен простой офлайн-кейлоггер. Он устанавливает перехватчик с помощью функции SetWindowsHookEx и записывает нажатые клавиши и имя активного процесса в файл %TEMP%\Log.tmp.
В конфигурации AsyncRAT используются DDNS-домены, IP-адреса которых принадлежат VPN-сервисам. Однако, учитывая малое количество обнаруженных вредоносных файлов и доменов, можно говорить об уникальности этих IP-адресов и проводить по ним атрибуцию. Ниже представлена схема обнаруженного кластера, в котором названия доменов семантически схожи, а IP-адреса VPN-сервисов находятся в рамках сети одного провайдера.
Просматривая сообщения, отсылаемые в Telegram-бот хакеров, мы заметили, что на некоторых скриншотах видны фрагменты PowerShell-скрипта с логикой получения информации о системе и взаимодействия с Telegram-ботом. Помимо этого, на одном из скриншотов мы увидели использование инструмента Luminosity Link RAT, создателя которого задержали в 2018 году. Некоторые версии утилиты, в том числе и используемую злоумышленником, можно найти на GitHub.
Учитывая то, что ВПО делает скриншот экрана сразу после того, как система жертвы заражается, можно найти закономерность. Скриншоты с PowerShell-скриптом сделаны в системе с именем DEXTER (или DEXTER, DEXTERMSI). Кроме того, в начале переписки с ботом пользователь отправляет ссылку на Telegram-канал, которая также имеет в названии имя dexter. Наличие в названии канала подстроки ly может свидетельствовать о ливийском происхождении автора — это подтверждается геолокацией в данных, отправляемых ВПО, и арабскими комментариями в PowerShell-скрипте. В своем канале злоумышленник показывает взломанные под iOS приложения.
В процессе анализа мы обнаружили около 900 потенциальных жертв. Их идентификация основана на сообщениях из Telegram-бота (поле Device ID) и скриншотах рабочего стола после отправки. Большую долю жертв составляют обычные пользователи. Среди них — сотрудники компаний из следующих отраслей:
Ближний Восток и Северная Африка остаются одним из самых напряженных регионов. Из-за геополитической ситуации в нем наблюдается большое количество хакерских атак, направленных как на государственные учреждения, так и на обычных пользователей, и сложность этих атак увеличивается. Популярная у злоумышленников тема для фишинга — политические взаимоотношения стран.
Инструменты Desert Dexter не отличаются сложностью, однако использование рекламы в Facebook* в связке с легитимными сервисами и отсылками к геополитическому контексту позволяет заражать множество устройств. Группировка публикует в своих постах сообщения о якобы слитой конфиденциальной информации, что делает цепочку атаки универсальной для заражения устройств как обычных пользователей, так и высокопоставленных чиновников. Мы продолжаем следить за активностью Desert Dexter на территории арабских стран.
* Meta (Facebook) — организация, запрещенная на территории России.