Денис Казаков
Специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies
Сергей Самохин
Младший специалист группы исследования сложных угроз TI-департамента экспертного центра безопасности Positive Technologies
В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке.
Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.
Дополнительный анализ техник, тактик и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook. При этом была выявлена схожесть дропперов Poco RAT и Bandook.
В течение 2024 года внутренние системы киберразведки PT Expert Security Center фиксировали кампанию, направленную на корпоративные сети, с применением Poco RAT. Целевой аудиторией атаки стали испаноговорящие пользователи, это понятно по содержимому вредоносных вложений и по языку фишинговых писем, используемых для доставки ВПО. Цепочка атаки представлена на рисунке ниже.
Жертве приходит письмо с уведомлением о необходимости оплатить квитанцию.
При анализе документов-приманок выявлены сферы, под которые злоумышленники пытаются мимикрировать для маскировки своих действий.
Во вложении содержится документ-приманка, который в большинстве случаев представлен в формате PDF (реже — HTML). Файл мимикрирует под документ от организации из вышеуказанных сфер. Программное обеспечение, задействованное для формирования PDF-файлов, включает такие инструменты, как Adobe Acrobat Pro DC и Canva.
В метаданных файлов обнаружены следующие имена авторов и пользователей (PDF:Author): trabajo, Rene Perez, Keneddy Cedeño, Mr. Pickles. Эти имена (за исключением trabajo, что в переводе с испанского — «работа») позволяют легко находить документы-приманки, связанные с группировкой.
Документы-приманки, как правило, не детектируются антивирусными решениями. Их названия содержат фразы, имитирующие финансовые взаимоотношения между жертвой и организацией, под которую маскируются злоумышленники. Такой документ характеризуется нечеткими визуальными признаками («замыленным» видом), что может стимулировать интерес у неопытных пользователей. При нажатии на файл происходит переход по ссылке — и .rev-архив автоматически скачивается с легитимных файлообменников или сетевых хранилищ, что затрудняет обнаружение и блокировку источников.
Файлы с расширением .rev создаются архиватором WinRAR и изначально предназначены для воссоздания отсутствующих и поврежденных томов в многотомном архиве. Злоумышленники применяют такие файлы в качестве контейнеров для полезной нагрузки, чтобы снизить вероятность ее обнаружения средствами защиты.
Таблица 1. Примеры названий документов-приманок
| Название документа | Перевод |
|---|---|
| CONFIRMAR COMPROBANTE DE PAGO#00315.pdf | Подтвердить платежный документ#00315.pdf |
| FACTURA Global Supply Services, C.A.pdf | Счет-фактура Global Supply Services, C.A.pdf |
| FACTURACION_DIGITALIZADA Industrias salineras c.a..pdf | Оцифрованный счет-фактура Industrias Salineras, C.A..pdf |
| RETENCION FALTANTE DE ABRIL solimsa.pdf | Недостающие удержания за апрель solimsa.pdf |
Для распространения вредоносных .rev-архивов группа применяет:
Сервисы хранения, такие как Google Drive, Dropbox и аналогичные платформы.
Чтобы замаскировать URL, злоумышленники используют сервисы сокращения ссылок: bit.ly, is.gd, ja.cat и Rebrandly.
CDN-хранилища.
Для каждой атаки создаются уникальные разделы с названиями организаций, под которые мимикрирует группировка, или документов. Например, .rev-архив с названием NUEVAFACTURA может быть размещен по адресу farmabienoctubre2024.b-cdn.net.
Внутри .rev-архивов содержится дроппер, название которого совпадает с названием документа-приманки: это укрепляет доверие жертвы.
Дроппер, размещенный внутри .rev-архива, играет ключевую роль в начальной фазе атаки. Его основная задача — подготовить и запустить вредоносный компонент (Poco RAT), не оставив следов на диске. Таким образом, шансы обнаружения атаки снижаются. Дроппер реализован на Delphi, и его функциональность не изменялась с момента создания.
В течение 2024 года в полях Copyright и Product исполняемого файла злоумышленники указывали названия реальных компаний. Внося изменения в поле VersionInfo, хакеры полагались на социальную инженерию: они стремились снизить уровень подозрений пользователей, поскольку файлы с такими метаданными могут восприниматься как более безопасные. В ходе анализа были замечены названия крупных организаций: Disney, Lockheed Martin и Morgan Stanley. Мы изучили образцы дроппера и выделили компании, которые упоминались чаще всего:
Действия дроппера сводятся к рефлективной загрузке и внедрению в легитимный процесс (iexplore.exe или cttune.exe) PE-модуля, находящегося в секции ресурсов в зашифрованном виде.
Сравнив дропперы Bandook и Poco RAT, мы выявили их значительное сходство. Для затруднения обнаружения и для отладки в обоих дропперах применяется динамическое разрешение API-функций операционной системы. В процессе выполнения осуществляется переход на участок кода, реализующий требуемые действия. Для этого дроппер, обращаясь к заведомо недействительному адресу памяти, инициирует исключение, обработчик которого передает управление на соответствующую функцию (ее адрес заранее сохраняется в стеке).
Все используемые строки зашифрованы алгоритмом Twofish и закодированы в Base64. В качестве ключа шифрования используется хеш-сумма Ripemd-160, рассчитанная по фиксированной строке (уникальной для каждой сборки дроппера). Пример подобного ключа: VrKA9qz1ytZwY2sFxkQ0rE1FLrVW2T9fHYQeakW2rz9sLFxq4yGiCgA1KbFwZWfohs9Of.
Аналогичным образом расшифровывается хранящаяся в секции ресурсов полезная нагрузка, однако для нее используется отдельный ключ.
Вредоносное программное обеспечение Poco RAT представляет собой бэкдор, позволяющий оператору работать с файловой системой, выполнять команды ОС, запускать исполняемые файлы, делать снимки экрана. Все проанализированные сборки Poco RAT упакованы с помощью UPX (Ultimate Packer for Executables, инструмента для сжатия исполняемых файлов), что сократило средний объем файла с 24 МБ до 13 МБ. Основной причиной увеличенного размера является использование POCO — набора кросс-платформенных библиотек C++ с открытым исходным кодом, предназначенных для создания сетевых и интернет-приложений.
ВПО создает отдельный поток для непрерывного мониторинга собственного состояния. Для описания статуса работы используется два состояния:
На следующем этапе Poco RAT определяет командный сервер (command and control, C2), с которым будет установлено соединение. После успешного подключения сервер инициирует регулярную отправку heartbeat-сообщений для проверки актуальности соединения и обеспечения непрерывной связи с вредоносным ПО. Далее Poco RAT собирает данные о системе, используя стандартный набор функций из WinAPI. Перечень данных, которые собирает и передает ВПО, включает:
После сбора данных и установления соединения с C2-сервером проверяется наличие виртуальной среды. Для этого анализируется реестровый путь SOFTWARE\Oracle\VirtualBox, указывающий на VirtualBox, а также порт 0×5658, характерный для VMware. Если признаки виртуализации не обнаружены, вся собранная информация передается на командный сервер.
После завершения сбора данных ВПО формирует общий буфер с информацией. Данные структурируются и разделяются специальным символом-сепаратором — *@&). Пример структуры данных в итоговом буфере:
N35*@&)username*@&)pc_name*@&)win_ver*@&)free_disk_space*@&)ram*@&)time*@&)
В таблице ниже представлено, какой набор команд может выполнять Poco RAT.
Таблица 2. Список команд
| Идентификатор | Описание |
|---|---|
| T-01 | Отправить на С2-сервер собранные данные о системе. Как было описано выше, выполняется автоматически при старте ВПО |
| T-02 | Получить и отправить на С2-сервер заголовок активного окна |
| T-03 | Загрузить на скомпрометированный узел исполняемый файл и запустить его |
| T-04 | Загрузить файл на скомпрометированный узел |
| T-05 | Сделать снимок экрана и отправить его на С2-сервер |
| T-06 | Выполнить заданную команду в интерпретаторе командной строки cmd.exe. Результат выполнения команды отправляется на С2-сервер |
Механизма для закрепления в системе в ВПО нет. Можно предположить, что после первоначальной разведки сервер присылает команду для закрепления либо же атакующие применяют Poco RAT как промежуточный инструмент, который доставляет основную нагрузку.
При изучении сетевой инфраструктуры кампании выявлены C2-серверы, с которыми взаимодействовали вредоносные файлы. Сканирование показало отсутствие открытых портов, работающих сервисов или привязанных доменных имен.
Таблица 3. Активность С2-серверов
| IP-адрес | Дата обнаружения первого файла, связанного с сервером | Дата обнаружения последнего файла, связанного с сервером |
|---|---|---|
| 94.131.119.126 | 24.01.2024 | 09.08.2024 |
| 185.216.68.121 | 16.09.2024 | 11.11.2024 |
| 193.233.203.63 | 13.11.2024 | 22.01.2025 |
На протяжении года мы изучали образцы вредоносного ПО, которые связывались с указанными C2-серверами. Это позволило отслеживать, как атакующая группировка мигрировала с одного сервера на другой.
Несмотря на отсутствие видимых открытых портов, вредоносное ПО устанавливает связь с C2-серверами через определенные порты:
При анализе загрузок Poco RAT в публичные песочницы выявлена географическая концентрация активности. Основными странами, из которых загружались образцы, оказались Венесуэла, Доминиканская Республика, Колумбия и Чили. Высокий уровень активности в странах Латинской Америки свидетельствует о фокусе на этом регионе.
В статистике не учтена Испания, однако стоит отметить, что на нее также приходится значительный процент атак. Это может быть связано с тем, что большинство стран, для атаки на организации в которых использовался Poco RAT, являются испаноязычными. Многие компании, оказывающие услуги на территории Латинской Америки, имеют головные офисы в Испании. Так, мы обнаружили документы-приманки, использующие символику и атрибутику венесуэльского банка BBVA Provincial, головной офис которого находится в Испании — Banco Bilbao Vizcaya. Вполне вероятно, что средства защиты в головных подразделениях компаний детектируют образцы ВПО и отправляют их в публичные песочницы. Это объясняет высокий уровень активности из указанной страны.
Dark Caracal — группировка кибернаемников, действующая с 2012 года. Она специализируется на взломах по заказу, нацеливаясь на госучреждения, военные структуры, активистов, журналистов и коммерческие организации. Основной инструмент атак — троян удаленного доступа Bandook. За годы своего существования Bandook множество раз модернизировался, при этом оставаясь универсальным средством для сложных целевых операций. Сегодня его использование строго ограничено, и единственным известным оператором трояна является Dark Caracal.
В 2023 году была зафиксирована кампания группировки Dark Caracal, нацеленная на страны Латинской Америки, включая Венесуэлу и Доминиканскую Республику. В рамках операции использовался троян Bandook — продолжилась серия атак, начатых ранее (в том числе в рамках кампании 2018 года, описанной сотрудниками EFF и Lookout).
Адреса командно-контрольных серверов группировки представлены в таблице ниже.
Таблица 4. Сетевая инфраструктура
| IP-адрес | Дата обнаружения первого файла, связанного с сервером | Дата обнаружения последнего файла, связанного с сервером |
|---|---|---|
| 83.97.20.153 | 17.02.2023 | 23.07.2023 |
| 45.67.34.219 | 26.09.2023 | 20.11.2023 |
| 185.10.68.52 | 05.07.2023 | 04.06.2024 |
| 77.91.100.237 | 03.11.2023 | 23.02.2024 |
| 185.216.68.143 | 06.02.2024 | 01.08.2024 |
| 194.48.248.72 | 19.07.2024 | 26.09.2024 |
Примечательно, что сетевые инфраструктуры кампаний с использованием Poco RAT и Bandook находились в пределах одних и тех же автономных систем (далее — AS).
Таблица 5. Пересечение AS в кампаниях
| AS | Poco RAT | Bandook |
|---|---|---|
| 200019, AlexHost SRL | 185.216.68.121, 193.233.203.63 | 185.216.68.143, 194.48.248.72 |
| 44477, Stark Industries Ltd. | 94.131.119.126 | 77.91.100.237, 45.67.34.219 |
На графике видно, что распространение семплов Bandook прекращается и практически одновременно с этим начинают фиксироваться семплы Poco RAT, использующие схожую сетевую инфраструктуру. Такое совпадение может свидетельствовать о целенаправленном переходе операторов на новый инструмент.
Кампании, связанные с Bandook и Poco RAT, имеют схожие признаки. Основные совпадения включают:
На основе схожести цепочек атак, функционального сходства вредоносного ПО, а также пересечений в сетевой инфраструктуре мы предполагаем, что рассматриваемая кампания является продолжением деятельности группировки Dark Caracal и отражает попытки злоумышленников адаптироваться к современным методам защиты. В результате исследования, которое проводилось в течение 8 месяцев (с июня 2024 года), выявлено 483 вредоносных семпла — значительно больше, чем количество образцов Bandook, обнаруженных в период с февраля 2023 по сентябрь 2024 года (355). Этот сдвиг может указывать на изменение тактики группировки и переход к массовым рассылкам с использованием нового инструмента. Анализ документов-приманок и сфер мимикрии позволяет предположить, что группировка является финансово мотивированной.