Дети, не списываем! «Новые» техники группировки PhaseShifters

•    Обнаружены новые атаки, атрибутированные нами к группировке PhaseShifters.
•    В атаке используется известная техника стеганографии, которая повторяет атаки группировки TA558, описанные в одной из наших статей ранее.
•    Атакующие используют один из испаноязычных криптеров, описанных в статье экспертов компании eSentire про группировку Blind Eagle.
•    Группировка использует репозитории BitBucket и Github для хранения закодированных полезных нагрузок.
•    Есть вероятность, что все репозитории принадлежат найденному сервису, предлагающему подписку на криптеры и обфускаторы.
•    Оказывается, что один и тот же репозиторий может использоваться несколькими группировками по всему миру. Так, например, были обнаружены репозитории BitBucket, которые использовались как в атаках на Россию, так и на Украину.
•    Найденный BitBucket опять поднял вопрос сходства группы PhaseShifters c другой группой, обнаруженной в 2020 году.

В процессе мониторинга атак на российские организации специалистами департамента Threat Intelligence экспертного центра безопасности Positive Technologies были обнаружены фишинговые письма и файлы, адресованные различным российским компаниям, в том числе и государственным. Проанализировав контекст атаки, а также загружаемое ВПО, удалось атрибутировать данные файлы к группировке PhaseShifters.

В процессе поиска похожих атак были обнаружены десятки различных вредоносных файлов с тематиками, например, резюме, дополнительных соглашений и так далее. Эти файлы были направлены на разные организации промышленного сектора, исследовательские центры и государственные учреждения.

Однако в атаке использовались не стандартные для данной группировки техники, а очевидные и понятные техники для группировок из другого региона — TA558 и Blind Eagle.

В этом исследовании мы представим анализ новой цепочки атаки группировки PhaseShifters, которая проводится как минимум с июня 2024 года, а также покажем сходства с другими хакерскими группировками.

В конце июня 2024 года в процессе исследования угроз нами был обнаружен архив с названием «Копия трудовой.docx.rar». Предположительно, архив распространялся в качестве вложения в письмах различным компаниям на территории России. Архив был защищен паролем, который, предположительно, можно найти в теле письма. 

Мы получили доступ к файлу, находившемуся в этом архиве — Копия трудовой.docx.exe.

Обнаруженный файл выгружал на систему несколько файлов, в том числе исполняемый файл с провокационным названием putin_***.exe, а также документ-приманку с фотками паспорта гражданина Республики Беларусь.

В процессе работы файл с провокационным названием запускал powershell-скрипты, которые во время работы получали картинки с загрузчиком ВПО и полезную нагрузку последней стадии с репозиториев BitBucket. 

• https://bitbucket.org/hgdfhdfgd/test/downloads/new_image.jpg?1444172
• https://bitbucket.org/fasf24124/fdgfytrj/downloads/roAScpm.txt

В случае первого битбакета, в котором лежали картинки со стеганографией, в репозитории находились следующие файлы:

Тот, кто коммитил код в репозиторий, был некий Nano. Данный репозиторий сейчас неактивен, поэтому нет возможности узнать почту этого пользователя.

Картинки представляли собой изображение пустыни Атакама из Чили.

Второй репозиторий, который выступал в качестве хранения финальной нагрузки, — до сих пор функционирует. Судя по метаданным, первоначально он был создан 4 марта 2024 года неким пользователем с никнеймом siniy34240.

Данный bitbucket на момент анализа содержал 46 файлов с разными названиями, хотя часть из них является одинаковой по содержанию.

Про данный BitBucket упоминали впоследствии исследователи на конференции OffZone.

В данной цепочке использовался болгарский С2, который связан с другими подобными атаками и такими файлами, как:

• ru***.exe
• ***pen**.exe
• vvp_***.exe

Про эти файлы также рассказывали на вышеупомянутой конференции. 

Позднее, в сентябре 2024 года, было обнаружено еще несколько документов, которые работали похожим образом:

• Заявление об актуализации персональных данных.rar (f0d402ffd0b57202feadee1a0b831a27a4b8135933cddb3d99232fbb20d3e138)
• ФГУП «*******» (проект дополнительного соглашения) (1ff8d5c5cb7e1949e55b602aad6d7253216a4ac55727703557410d2c47d561b8)
• Проект распоряжения правительства Курской области.pdf.zip 
• Договор.pdf.rar
• ...

Ниже представлен граф цепочки атаки. Желтым цветом обозначена дополнительная информация, описание техник обфускации, используемые ссылки и другие индикаторы компрометации. Красным цветом обозначен путь основного вектора атаки, синим — альтернативный путь.

Жертва получает письмо, в котором находится архив, защищенный паролем И (ИЛИ) документ-заглушка. Пароль от архива можно найти в тексте письма, обычно это пароль небольшой длины, состоящий только из цифр. Как только пользователь открывает архив и запускает исполняемый файл — открывается заглушка. 

В дальнейшем исполняемый файл загружает из себя в систему вредоносный обфусцированный .vbs- или .bat-скрипт. В общем случае алгоритм обфускации следующий (для примера взяты команды из .bat-файла):

1. Весь скрипт разбит на блоки команд SET и GOTO.
2. Каждый такой блок назван нечитаемыми символами.
3. Каждый такой блок хранит в себе кусок powershell-скрипта и переходит на установку переменной с другой частью скрипта.
4. Последняя метка конкатенирует все сформированные блоки

В результате конкатенация строк происходит следующим образом:

:final_ps_payload
%ps_payload_1%%ps_payload_2%%ps_payload_3%%ps_payload_4%%ps_payload_5%%...%%ps_payload_N%

Где final_ps_payload — последняя метка обфускации, ps_payload_N — часть powershell-скрипта, N — количество частей powershell-скрипта. Название метки, а также переменных изменены для удобства понимания.

Затем запускается powershell-скрипт, который выглядит примерно следующим образом:

$codigo = 'WwBO#GU#d##u#FM#ZQBy#HY#aQBj#GU#U#Bv#Gk#bgB0#E0#YQBu#GE#ZwBl#HI#XQ#6#Do#UwBl#GM#dQBy#Gk#d#B5#F##cgBv#HQ#bwBj#G8#b##g#D0#I#Bb#E4#ZQB0#C4#UwBl#GM#dQBy#Gk#d#B5#F##cgBv#HQ#bwBj#G8#b#...<Продолжене строки>'; $oWjuxd = [system.Text.encoding]::Unicode.GetString([system.convert]::FromBase64string( $codigo.replace('#','A') ));powershell.exe $OWjuxDutionpolicy bypass -Noprofile -command $OWjuxD"

Как видно из скрипта, символ # заменяется на другой, для того чтобы получить правильную Base64-строку. Как окажется позже, символ может быть другой и не один: возможна замена блока из нескольких символов, даже в кодировке Unicode.

После декодирования получается еще один powershell-скрипт, который выглядит следующим образом:

Разберем алгоритм работы скрипта:

1. Имеется функция 'DownloadDataFromLinks', которая проходится по массиву ссылок и пытается скачать файл с расширением .jpg.
2. Если какая-то из ссылок активна и вернула картинку — байты картинки записываются в переменную $imageBytes.
3. Внутри файла есть две метки, между которыми скрипт получает полезную нагрузку в виде Base64.
4. Полезная нагрузка декодируется.
5. Полезная нагрузка — загрузчик Ande Loader, который через метод [System.Reflection.Assembly]::Load готовится к запуску.
6. Полезная нагрузка загружается с C2 и внедряется в легитимный процесс RegAsm, используя метод la из загруженной полезной нагрузки.

Изучив исходный код загрузчика, внедряемого в процесс, можно сказать, что основная цель la-метода — вызвать метод Ande, который уже закрепит ВПО через легитимный процесс. Другая функция метода — закрепление родительского скрипта в автозагрузку или на некоторое время в системе. Сам метод принимает в себя пять параметров:

• adress — строка с перевернутой ссылкой для скачивания полезной нагрузки;
• enablestartup — строка, хранящая в себе цифру из набора {0,1,2}. Значение этого параметра определяет, будет ли происходить закрепление ВПО в автозагрузке или нет и каким образом оно происходит;
• startupname — строка с названием исполняемого файла, закрепляемого через автозагрузку в том случае, если enablestartup = True;
• injection — название процесса, в который должен быть внедрен код ВПО;
• persistence — строковый параметр, выступающий в роли булевого значения. Если persistence = «1» и enablestartup = «0» — создается .bat-скрипт, который в цикле из 1000 итераций раз в минуту проверяет наличие процесса injection среди активных. Если его нет — запускает <startupname >.vbs-файл, который должен запустить всю цепочку заново. 

Код метода la можно посмотреть на скриншотах ниже.

Самое важное среди параметров, да и в целом всего скрипта, — ссылки на скачивание полезной нагрузки. В ходе исследования набора файлов, которые описаны выше, не было обнаружено других мест хранения файлов, кроме репозиториев BitBucket и GitHub. На момент написания статьи репозиторий с последней полезной нагрузкой из рассматриваемой атаки уже был недоступен, но в сети много других репозиториев, хранящих закодированные полезные нагрузки. Внутри текстовых файлов — перевернутая Base64-строка от байтов исполняемого файла.

Последняя полезная нагрузка в рассматриваемой цепочке атаки — троян удаленного доступа DarkTrack RAT, который, по словам экспертов, используется группировкой в атаках 2023 и 2024 годов. В большинстве актуальных атак использовался один и тот же сервер злоумышленников — 45.143.166[.]100:52336.

Помимо DarkTrack RAT, на репозиториях находятся такие семейства ВПО, как AsyncRAT, Redline, Remcos, njRAT, XWorm и другие. Такой набор троянов и стиллеров используется несколькими группировками, в том числе TA558, Blind Eagle и другими. Более того, интересный факт заключается в том, что количество скачиваний у некоторых образцов превышает значения в 46 000. Такое количество скачиваний говорит о массовости использования файлов, что не характерно для традиционных APT, скорее для сервисов распространения ВПО.

При поиске схожих элементов в powershell-скриптах, а также .bat- и .vbs-файлах мы выделили несколько особенностей обфускации:

• Использование обфускации с применением функций SET, GOTO (.bat-файлы) и Call (.vbs).
• Переменная $codigo в powershell-скрипте, получаемом после деобфускации. Стоит отметить, что слово codigo переводится как «код» с португальского или испанского языка.
• В переменной $codigo содержится строка с закодированным Base64 powershell-скриптом, и, для того чтобы он был корректным, необходимо заменить один символ или последовательность символов на другой.
• В последнем powershell-скрипте происходит скачивание полезной нагрузки, которая является загрузчиком вредоносного ПО. При этом сам загрузчик скачивается как текстовый файл, внутри которого закодированный Base64 исполняемый файл.

В результате выделения особенностей скриптов удалось найти пересечение с атаками группировки TA558, описанными нами в апреле 2024 года, а также атаками группировки Blind Eagle, описанными компанией eSentire в феврале 2024 года. Самое интересное, что во втором отчете рассказывается про использование криптеров и обфускаторов, которые распространяются на теневых форумах, в связке с загрузчиком Ande Loader. Сравнив с атаками группировки PhaseShifters, мы пришли к такому же выводу.

Однако остается открытым вопрос об используемых обфускаторах и криптерах, и почему PhaseShifters решили использовать именно их. Специалисты из eSentire уже проводили анализ нескольких криптеров, которые использовались группировкой BlindEagle: VBS-Crypter, VBS-Crypter Simples, UpCry (UpCrypter), F*ckCrypter. 

Из анализа инструментов, можно выделить несколько особенностей:

• Использование переменной $codigo, в которой также лежит закодированный powershell-скрипт.
• Работа с текстовыми файлами, внутри которых загрузчик на C#.
• Получение метода из загрузчика, передача ему в качестве аргумента перевернутой ссылки на полезную нагрузку.

Помимо этого, в некоторых строках криптера можно обнаружить никнеймы авторов, которые создали данные утилиты:

• NoDetectOn
• Pjoao1578
• MR_AHMED
• Roda

Также нами был обнаружен репозиторий BitBucket с коммитами от пользователя с ником Roda, на котором хранились закодированные загрузчики, из которых вызываются методы, как это было в нашем анализе выше. Интересный момент этого бакета заключается в количестве загрузок, а именно на момент исследования суммарное количество загрузок составляло почти миллион раз.

Техники обфускации, а также генерируемые powershell-скрипты работают по такой же схеме, как и в описанной нами атаке, за одним исключением: не происходит взаимодействия с сервисами ButBucket или Github для получения картинки. Однако версии криптеров достаточно старые, и, следовательно, все могло поменяться, в том числе и вид генерируемого скрипта.

Продвинувшись в исследовании ещё немного, мы обнаружили GitHub-репозиторий с именем NoDetectOn, внутри которого были картинки по продаже подписки на обфускаторы и криптеры.

Поиск по тексту одной из картинок выводит нас на сайт по продаже этих обфускаторов, на котором предлагается подписка на обфускаторы VBS- и BAT-файлов по двум тарифам: публичный и приватный. Цены начинаются от 100 долларов в месяц за обфускатор только для одного типа файлов.

У этой организации также есть репозиторий на Github, который коррелирует с именем NoDetectOn.

В репозитории ZIP лежат несколько файлов, содержащих перевернутую Base64-строку, а также картинку с названием new_image. Содержимое файлов выглядит следующим образом:

Картинка, которая находится сейчас в репозитории (а точнее то, что на ней изображено), уже встречалась нами в атаках группировки TA558, только располагалась картинка по другой ссылке.

Поэтому в рамках данного исследования мы сделали предположение, что TA558, Blind Eagle, а теперь и PhaseShifters используют подписку на обфускаторы и криптеры. Это обуславливается одинаковой структурой обфускации, одинаковой переменной внутри powershell-скрипта, схожей формой хранения полезной нагрузки (текстовые файлы или картинки с Base64 в них) и использованием одних и тех же репозиториев с полезной нагрузкой, но об этом позднее.

При этом сам CaaS (Crypter-as-a-service), который мы обнаружили, — это, вероятнее всего, объединение всех разработчиков, никнеймы которых указаны выше.

Но, помимо этого, мы обнаружили еще одну группу, которая использовала эту же технику, тот же криптер. Мы предполагаем, что PhaseShifters копирует технику у другой группы.

UAC-0050 (UAC-0096) — это хакерская группировка, атакующая государственные организации на территории Украины с 2020–2021 годов, а также атакующая компании в Польше, Беларуси, Молдове, странах Прибалтики а также в России. В своих атаках группировка чаще всего использовала фишинговые письма в сочетании с известным ВПО Remcos RAT, Quasar RAT, Meduza Stealer, Remote Utilities. Однако, судя по проведенным атакам, на этом их арсенал не заканчивается. 

В 2023 году группировка использовала Remote Utilities для атаки на польские и украинские организации, а в январе 2024 года начали маскировать Remote Utilities под легитимное приложение CCleaner. В последней упомянутой атаке группировка использует BitBucket для хранения архива и к письму прикрепляла ссылку на архив. В марте 2024 года эксперт BushidoToken рассказал про связь UAC-0050 и DaVinci Group.

Выше мы упомянули несколько атак, которые проводила группировка, и вот что в них использовалось:

• Фишинговое письмо с важным содержанием (документы суда, скан документов, копии с пометкой банка, план эвакуации и другие) с вложением внутри ИЛИ со ссылкой на скачивание файла.
• Вложения представляют собой документ-приманку И (ИЛИ) архив, который защищен паролем. 
• Пароль указывается в теле письма или в названии текстового файла внутри архива, состоит из N цифр.
• Архив содержит вредоносный исполняемый файл, который является одним из перечисленных ВПО, указанных до этого.

Глядя на такой набор фактов, можно провести параллель между группировками PhaseShifters и UAC-0050. Наиболее точные пересечения видны в атаках PhaseShifters на компании Беларуси с ВПО, замаскированным под установщик утилиты CCleaner и являющимся SFX-архивом с обфусцированными AutoIt-скриптами. 

AutoIT-скрипты использовались обеими группами на протяжении примерно полугода, и обе группы одновременно прекратили их использовать. Интересная особенность этих скриптов заключалась в том, что только три группы замечены за использованием AutoIT-загрузчика, а именно: PhaseShifters, UAC-0050 и пропалестинская группа Handala, и исследователи из Intezer назвали этот загрузчик Handala loader. 

PhaseShifters, как и UAC-0050, атаковала польские организации. Группировка PhaseShifters, как утверждают специалисты из компании FACCT, это делала в феврале 2024 года, а группировка UAC-0050 атаковала Польшу в ноябре — декабре 2023 года. Исходя из сходства используемых техник во время фишинга, а также маскировки ВПО, можно предполагать о взаимосвязи этих двух группировок. Являются ли они одним целым, пока утверждать нельзя, для этого нужны более точные факты.

Оказывается, рассматриваемая цепочка атаки, использующая криптеры и обфускаторы по подписке, используется не только PhaseShifters, но и UAC-0050. Более того, временная разница в использовании такой цепочки атаки невелика: PhaseShifters начали использовать подобную цепочку в июне — июле 2024 года, UAC-0050 также в начале июня 2024 года. При этом обе группировки используют такой паттерн атаки и на данный момент.

Рассмотрим граф взаимосвязей, который нам удалось создать на основе обнаруженных атак (рисунок 31). На схеме белым цветом отображено использование группировкой UAC-0050 некоторых репозиториев из общего списка, желтым — аналогичные связи только со стороны группировки PhaseShifters. Фиолетовым цветом обозначена дополнительная информация, обнаруженная во время исследования.

Как видно из графа, некоторые репозитории используются обеими группировками. И если взаимодействие с картинкой еще можно объяснить покупкой одного и того же криптера, о котором говорилось ранее, то использование одного и того же репозитория с полезными нагрузками объяснить сложнее. Дело в том, что как раз последний репозиторий с вредоносным ВПО указывается пользователем в обфускаторах как ссылка на полезную нагрузку. Получается, что обе группировки вручную указали эти ссылки.

При этом в докладе на OffZone приводится пример последнего BitBucket, используемого для финальной нагрузки, как аргумент в пользу локации злоумышленников. Дело в том, что на BitBucket bitbucket.org/fasf24124 находились как DarkTrack, используемый группой PhaseShifters, так и Amethyst от группы Sapphire Werewolf. 

А теперь рассмотрим атаки группировок PhaseShifters и UAC-0050, которые также используют один репозиторий.

https://bitbucket.org/sdgw/sdge/downloads/ (более недействителен)

Со стороны группировки UAC-0050 такой репозиторий использовался в цепочке атаки файла «Копія з позначкою банку.vbs», загружая в качестве полезной нагрузки файл https://bitbucket.org/sdgw/sdge/downloads/meduza.txt, который после декодирования Base64 является Meduza Stealer.

Группировка PhaseShifters использовала данный репозиторий в цепочке атаки с файлом «Проект распоряжения правительства Курской области.pdf.zip». Полезная нагрузка скачивалась по ссылке https://bitbucket.org/sdgw/sdge/downloads/mbFgnhd.txt, что является DarkTrack RAT — характерным ВПО для них.

Таким образом, на одном репозитории находились стиллер Meduza, использование которого запрещено правилами теневого форума для атак на российские организации и российских пользователей в целом, и DarkTrack RAT, который был обнаружен в атаках на РФ. Позже, 15 октября 2024 года, вышла новость с упоминанием этих репозиториев. Получается странная ситуация. 

Есть вероятность, что в самой новой версии криптера злоумышленникам предоставляется интерфейс по подписке, который позволяет грузить ВПО, а сами репозитории принадлежат создателям криптеров. В таком случае расположение ВПО на одном репозитории — случайность или совпадение. 

Также интересно было понять, что за картинка находилась в репозиториях во время атаки (ну или находилась когда-либо). Но поскольку репозиторий https://bitbucket.org/shieldadas/gsdghjj/ на данный момент удален, найти информацию можно либо на запусках в песочницах, либо в другом месте, например в Telegram. Дело в том, что у мессенджера есть автоматический функционал по созданию предпросмотра файла или страницы, доступных по ссылке. И каждый из таких предпросмотров, скорее всего, сохраняется на серверах мессенджера, поэтому при каждом следующем обращении пользователя по ссылке предпросмотр сначала проверяется на серверах и, если он есть, выдается пользователю. Так и получилось увидеть картинку, которая в какой-то момент была в репозитории по ссылке.

В начале января 2024 года, как было сказано ранее, на украинские организации были совершены хакерские атаки с темами в письме «Запит судових документів». Данная атака была атрибутирована к группировке UAC-0050. Среди индикаторов компрометации участвовал один домен rmssrv[.]ru. Этот домен интересен тем, что встречался также в фишинговой рассылке в октябре 2021 года, но уже на российские организации. Рассылка, по информации НКЦКИ, была от лица ФНС России и содержала вредоносное вложение (архив под паролем).

При этом в том же 2021 году данный домен использовался в рассылке против украинских госорганизаций. Письма были якобы от лица Управления патрульной полиции Киева.

Интересно, что в своем репорте НКЦКИ прикрепило пример атаки и скриншот вредоносного архива. Внутри архива находился пароль, а также сам исполняемый файл и дополнительные .rar-архивы, помеченные как part1 и part2.

Такую же технику наименования использует UAC-0050, у других групп мы не видели ничего подобного.

Мы видели много подобных разделений архива на части от группы. Например, в атаке на Молдову.

В обоих приведенных примерах группа UAC-0050 использовала загрузчик Handala в атаках с AutoIT-скриптами, про пересечение по которым мы рассказали ранее.

Есть факт, что группа PhaseShifters копирует технику UAC-0050 и мы уже который раз наблюдаем тенденцию, что копирование начинается с небольшим промежутком в несколько недель. 

Копирование настолько идентичное, что мы больше склоняемся к тому, что группы PhaseShifters и UAC-0050 могут быть одной группировкой, являющийся третьей стороной и атакующей обе страны.

Группа PhaseShifters продолжает атаковать российские организации из разных сфер деятельности. На этот раз цепочка атаки содержит техники стеганографии, которые уже использовались другими группировками. 

Анализ текущей цепочки привел нас к репозиториям Bitbucket, которые принадлежат создателям испаноязычных криптеров или сервисов с подписками на специальные инструменты, например, CryptersAndTools.

Так как PhaseShifters используют общие для других группировок репозитории BitBucket с картинками, то конкретно по этим BitBucket нельзя атрибутировать атаки к какой-либо определенной группе. Но в атаках использовались два типа репозиториев. 

Из-за общего репозитория с финальной нагрузкой, а также схожих цепочек атак в рамках нашей команды был снова поднят вопрос про пересечения между UAC-0050 и PhaseShifters. 

При этом повторный анализ атак группировок показал существенные пересечения между ними в самых разных аспектах, как в используемых инструментах, так и в техниках. Единственное существенное различие между группами заключается в конечном ВПО, но этот момент не является серьезным аргументов.

На данный момент мы склоняемся к тому, что группировки PhaseShifters и UAC-0050 являются одной группой, но точное подтверждение требует дальнейших исследований, так как, возможно, PhaseShifters просто копирует цепочки UAC-0050.