Авторы: Бадаев Александр, Наумова Ксения
Ключевые находки:
- Атаки группировки направлены на различные страны по всему миру, а не только на Латинскую Америку, хотя этот регион и является приоритетной целью.
- Группировка использует длинные цепочки атаки, которые включают различные инструменты и вредоносное ПО, такое как Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT.
- Группировка использует взломанные легитимные FTP-серверы в качестве С2, а также SMTP-серверы в качестве С2 и сервиса для фишинга.
- Группа использует легитимные сервисы для хранения строчек вредоносного ПО и картинок с вредоносным кодом.
Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили атаки по всему миру, которые с высокой степенью уверенности атрибутировали, связав с группировкой TA558.
TA558 — это, по изначальному описанию исследователей из ProofPoint, небольшая финансово-ориентированная киберпреступная группировка, которая атаковала гостиничные и туристические организации в основном в Латинской Америке, но также была замечена за атаками на североамериканский регион и Западную Европу. По информации исследователей, группа активна по крайней мере с 2018 года.
В исследованных нами атаках группа активно использовала технику стеганографии: файлы полезной нагрузки (в виде VBS- и PowerShell-скриптов, RTF-документов со встроенным эксплойтом) передавались внутри картинок и текстовых файлов. Примечательно, что большинство RTF-документов и VB-скриптов имеют такие названия, как greatloverstory.vbs, easytolove.vbs, iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc, и связаны со словом «любовь», поэтому мы и назвали эту операцию SteganoAmor.
Содержание
- Жертвы
- Начало исследования
- Другие цепочки заражения
- 1.1 Атака с применением Agent Tesla: основной сценарий с использованием XLS-документа и техники стеганографии
- 1.2 Атака с применением Agent Tesla: другой сценарий с использованием DOCX-документа
- 1.3 Атака с использованием Remсos
- 1.4 Атака с использованием XWorm
- 1.5 Атака с использованием LokiBot
- 1.6 Атака с использованием GuLoader и FormBook
- 1.7 Атака с использованием Snake Keylogger
- 1.8 Другие примеры атак
- Использование группой легитимных FTP- и SMTP- серверов
- Атрибуция
- Заключение
- Тактики и техники по матрице MITRE ATT&CK
- Вердикты продуктов Positive Technologies
- Индикаторы компрометации
Жертвы
Во время исследования мы нашли множество семплов, направленных на различные секторы и страны. Помимо вредоносных файлов, мы встречали множество писем, отправленных разным компаниям. Большинство писем, которые мы встречали, были посланы в страны Латинской Америки, но также мы обнаружили, что немалая часть была отправлена российским, румынским и турецким компаниям.
Среди жертв мы также видели зараженные легитимные FTP- и SMTP-серверы, которые злоумышленники использовали в качестве С2-серверов. Зараженные SMTP-серверы злоумышленники использовали также для отправки фишинговых писем.
В процессе исследования мы также находили серверы с открытыми папками, в которых располагались вредоносные файлы, использовавшиеся в разных атаках.
На серверах с открытыми папками мы также находили логи ВПО с украденными данными. Так, например, украденные с помощью ВПО Agent Tesla данные представляли собой HTML-файлы со следующим шаблоном в названии:
- PW_*PC_name*_*date of exfiltration*_*time of exfiltration*.html
Сами данные представляли собой агрегацию учетных записей из всех известных браузеров, из почтовых сервисов, например, Outlook и Thunderbird, из сервисов удаленного доступа — VPN или RDP.
Среди таких логов были как данные обычных пользователей, так и данные государственных организаций и различных предприятий.
В совокупности мы обнаружили более 320 атак, которые были направлены на следующие страны и секторы:
В процессе исследования мы обнаружили атаки на конкретные компании. Число этих атак сильно отличается от общего числа обнаруженных, так как не всегда удавалось установить конкретную жертву. Однако анализ установленных жертв указывает на следующее распределение атак по сферам деятельности компаний:
Начало исследования
В процессе мониторинга угроз специалистами ESC был обнаружен файл factura 00005111, 005114, 005115.pdf.xlam SHA-256: 69ffd7a475c64517c9c1c0282fd90c47597e3d4650320158cfb8c189d591db8c. По связанным с ним файлам было найдено письмо. По названию файла в письме (banned-20240117T134543-25672-12) можно предположить, что оно достигло адресата, но было блокировано СЗИ. Письмо посылалось румынской компании от якобы другой румынской компании:
Почтовый адрес отправителя был подменен, IP, с которого посылалось письмо, — 46.27.49[.]180. По нашим данным, с этим IP связаны еще 22 письма, которые группа рассылала разным организациям начиная с 15 июня 2023 года.
При открытии Excel с помощью макросов загружает файл packedtpodododod.exe (SHA-256:C42288A5946D2C3EB35E7485DD85936C1FABF49E46B12449C9136FF974A12F91) по следующему URL:
- 94.156.65[.]225/packedtpodododod.exe
C этого IP также можно получить RTF-файл. Он доступен по следующему URL:
- 94.156.65[.]225/microsoftdecidedtodesignnewproducttoupdateandupgradenewprojectthingsonthepcandsystem.doc
Этот вариант содержит CVE-2017-11882 и скачивает следующий файл цепочки по URL:
- 94.156.65[.]225/herewegoxla.exe.
После того как файл получен, он запускается. Финальной полезной нагрузкой является Agent Tesla с иконкой Excel. Agent Tesla выгружает данные на С2 через протокол FTP. Сам C2 является взломанным легитимным сайтом.
Другие цепочки заражения
Благодаря внутренним системам мы обнаружили десятки различных файлов, связанных с этим FTP, которые использовали его в качестве С2 для Agent Tesla. Большинство файлов, связанных с FTP, использовали вредоносные файлы с испанскими, португальскими и румынскими названиями.
Помимо того, с помощью наших систем мы смогли обнаружить сотни различных файлов и десятки вредоносных IP, используемых злоумышленником в описываемой операции. Среди обнаруженных файлов встречались документы с разными расширениями, направленные на разные страны, объединенные общей инфраструктурой и общей похожей цепочкой заражения. При этом сами файлы имели разные названия, включая наименования на английском, болгарском, хорватском, турецком, русском, китайском и других языках.
Ниже мы привели примеры некоторых цепочек с разными семействами ВПО: Agent Tesla, Remcos, XWorm, LokiBot, GuLoader, FormBook, Snake Keylogger. Хотим отметить, что для одного и того же ВПО могут быть различные цепочки, с полным списком IoCs вы можете ознакомиться в соответствующем разделе.
1.1 Атака с применением Agent Tesla: основной сценарий с использованием XLS-документа и техники стеганографии
Основной сценарий, который мы видели в этой кампании и по которой мы назвали эту кампанию, — цепочка заражения с использованием техники стеганографии.
Наглядным примером является файл Cerere de cotatie.xla (SHA-256: 64020a7a3f5f6c589272f28d727318eb5eb4eb4d41510679cb8134c0325c8fe2). Он и начинает эту цепочку. При его открытии используется уязвимость CVE-2017-11882 и идет запрос на следующий URL:
- qly[.]ai/08XE5
Этот адрес — пример сокращенного URL, оттуда происходит перенаправление на 23.95.60[.]74/weareinlovewithmygirlfriendunderstandhowitistoget___youareverybeautifilformeiloveusoomuchalwaysloveutrulyfromtheheartlove.doc.
Полученный при ответе сервера файл (SHA-256: 2c58ca41949aa784dce6a2006162781fe7a7a5453cafb731ee4d512efe718c43) является RTF-документом.
При запуске он скачивает VBS-скрипт с того же IP:
- 23.95.60[.]74/roammamamamam.vbs
VBS делает запрос к paste[.]ee для получения дальнейшей нагрузки:
- paste[.]ee/d/FZTcX
![Вредоносный код на легитимном сервисе Paste[.]ee](https://www.ptsecurity.com/upload/corporate/ru-ru/images/pt-esc/article-402404/9.png)
После этого скачивается и расшифровывается закодированная вредоносная строка из картинки по следующим URL:
- uploaddeimagens[.]com[.]br/images/004/753/714/original/new_image.jpg?1709908350
- uploaddeimagens[.]com[.]br/images/004/753/713/original/new_image.jpg?1709908316
Картинки одинаковые:
- new_image.jpg (SHA-256: 1435aef381b7e31245e2ca66818209a7f8d54daef4d0db25ef78b3a9fec3242b)
Закодированная в base64 нагрузка для следующий стадии, внутри скачанной картинки:
Команда PowerShell внутри скрипта:
После этого скрипт расшифровывает нагрузку с картинки и докачивает дополнительную нагрузку c того же URL, который написан в формате reverse string (то есть наоборот) — примечательно, что содержимое также представляет собой исполняемый файл, закодированный в base64, в перевернутом виде:
- 23.95.60[.]74/romamammamamamaa.txt
Далее вредоносное ПО Agent Tesla производит запуск. В качестве элемента обхода происходит проверка, которая помогает понять злоумышленнику, что вредоносное ПО запускается не на хостинге и IP-адрес жертвы является реальным:
- ip-api[.]com/line/?fields=hosting
Agent Tesla крадет данные из браузеров, почтовых клиентов, сервисов удаленного доступа и подключается к С2-серверу через FTP для их дальнейшей выгрузки.
1.2 Атака с применением Agent Tesla: другой сценарий с использованием DOCX-документа
Пример цепочки атак конца 2023 года, которую злоумышленники используют сейчас реже, но мы до сих еще находим подобные семплы:
- Lista de productos 2.docx (SHA-256: 54376ee15cca7c6cdecc27b701b85bdd2aa618fe8158a453d65030425154299a)
При запуске происходит запрос на shlx.us/eO, который перенаправляет нас на следующий URL:
- 23.95.122[.]104/htm/1/HTMLbrowserIEchromeHistoryCleaner.doc
Скачиваемый документ (SHA-256: 6cab2705e5bfe56db1e9a74c8af9dca162de7631dd8dc074685dcb9c1dc7c5a2) представляет собой вредоносный RTF-документ с эксплойтом:
RTF в свою очередь загружает IGCC.exe, являющийся Agent Tesla.
В итоге Agent Tesla начинает взаимодействие с С2 по FTP и дальнейшую эксфильтрацию данных:
1.3 Атака с использованием Remсos
Remсos (Remote Control and Surveillance) — это изначально легитимная программа, которая сейчас используется многими злоумышленниками в качестве RAT (Remote Access Trojan) для доступа к компьютеру жертвы.
Во время исследования мы обнаружили множество образцов ВПО Remcos, использовавшихся в атаках группировки.
Один из таких файлов — ORDER_SPECIFICATIONS_OFFER.xla (SHA-256: 93946883de3d4074ac4baed60abcc3f2d0c57c8ef6e41ceaedbc5ca0de55dc30):
При открытии файла макрос внутри XLS-документа обращается по короткому URL к первому С2 для дополнительных данных — qly[.]ai/p5Zpt:
![Запрос к qly[.]ai/p5Zpt](https://www.ptsecurity.com/upload/corporate/ru-ru/images/pt-esc/article-402404/22.png)
Он в свою очередь перенаправляет запрос на RTF-документ с эксплойтом:
- 147.185.243[.]107/45700/macc/shelovemywifemorethankanyonebutsametimeiloveagirlwholovingmealot_____sheisreallymyloverwhocarewholovedmefromtheheart.doc с cve-2017-11882
Далее делается обращение к следующему URL, в ответе которого выдается не картинка, а обфусцированный VBS:
- 147.185.243[.]107/45700/beautifulglobe.jpg,
Внутри этого скрипта зашит следующий С2 цепочки, на котором располагается другой обфусцированный скрипт:
- paste[.]ee/d/NYO9X
Его деобфускация показалась нам интереснее первой, поскольку содержала больше итераций различного кодирования, в результате внутри скрывался код с перевернутой строкой следующего C2:
- 147.185.243[.]107/45700/MACC.txt:
Уже внутри этого TXT-файла мы обнаружили конечный элемент цепочки — закодированный base64 код в перевернутом виде:
Итогом цепочки является заражение трояном удаленного доступа Remcos — (SHA-256: bd296301230adac77b09dc91d06ec26adbc49d015ea7d1b4f68b6805c2b5ee55).
Перед обращением к удаленному серверу Remcos делает запрос к geoplugin[.]net/json.gp для проверки IP-адреса, а затем связывается с C2, используя такую технику сокрытия трафика, как TLS-мимикрия:
1.4 Атака с использованием XWorm
XWorm является одним из наиболее популярных троянов удаленного доступа (RAT), который используется многими злоумышленниками. TA558 также его использует.
Одна из таких цепочек, как и в прошлый раз, начинается с XLS-файла и зашитой внутри него ссылки, которая перенаправляет запросы на другой сервер для скачивания RTF-документа с эксплойтом внутри. В данном случае мы встречали файлы 7b768394fa0869d92f872eb486f49fabd6469ef3a8fd8bdf9cb49d35b39ea73b и 94bcfc033fd6e445163116ebf73877ef71e22192bef829822314042b31a7281f, в результате исполнения которых шло обращение к URL за следующей стадией:
- 107.175.31[.]187/7508/iconimages.jpg
В скрипте зашит URL:
- paste[.]ee/d/G5J31
Данные содержимого представляют собой обфусцированный VBS, внутри которого две ссылки на картинки с дополнительной нагрузкой:
- uploaddeimagens[.]com [.]br/images/004/755/997/original/new_image_r.jpg?1710413993
- uploaddeimagens[.]com [.]br/images/004/755/997/original/new_image_r.jpg?1710413993
Как и в основном случае, описанном выше, строчки из картинки декодируются, и собирается полезная нагрузка, которая скачивает TXT-файл с перевернутым кодом base64, представляющим из себя финальную нагрузку XWorm:
- 107.175.31[.]187/7508/xwo.txt
После запуска XWorm начинает взаимодействие с С2:
- 147.124.212[.]213:6161
1.5 Атака с использованием LokiBot
LokiBot — это стилер, который собирает данные различных приложений жертвы: браузеров, email-клиентов, FTP и т. д. Один из таких файлов был получен с:
- 23.94.239[.]119/_—00_o______---0o0_00_0oo_0-o_o0-__________o0o-__________/ozzwerdfdghjfdggsahfhfghf.doc
Файл, как и в остальных случаях, представляет собой RTF-документ, который скачивает PE-файл (SHA-256: adc6a50e5985c31f0ed5ea885edd73e787f893f709591e5cf795fd78403d1430) по следующему URL:
- 23.94.239[.]119/112/vbc.exe
Файл представляет собой LokiBot, который начинает взаимодействовать с С2 и передавать информацию по следующему URL:
- sempersim[.]su/ha1/fre.php
1.6 Атака с использованием GuLoader и FormBook
Эта атака начинается с файла NEW ORDER.xls (SHA-256: 3688f05556a136fe094de5cb1888eac2a579525f72cd027e19738582ed40c283).
Макрос внутри XLS-файла запускает следующую цепочку, похожую на рассмотренную ранее. В начале происходит запрос к:
- 2s[.]gg/3zs
Затем происходит редирект на RTF-документ с ранее указанной базой данных CVE:
- 103.237.87[.]56/rew/re/binwecanmaintainthenewthingswithhimbecauseiwasrunningaroundthewroldwithnew____icangofornewthingsfortruestoryuloverbrother.doc
После этого со следующего URL скачивается GuLoader, использующийся как загрузчик для получения следующего ВПО с адреса:
- 103.237.87[.]56/setup/bin.exe
Файл (SHA-256: bfd50523e4cabf7fe9e6f0afc926b9269708ac80af43a943ebcbc909a9ae0695), представляющий собой GuLoader, обращается к гугл-диску, от которого он получает нагрузку вредоносного ПО — FormBook:
- drive.google[.]com/uc?export=download&id=1QJZpYWwA5nTHlXAY5PxXqGvqEBOtjtOi -> drive.usercontent.google[.]com/download?id=1QJZpYWwA5nTHlXAY5PxXqGvqEBOtjtOi&export=download
После запуска ВПО FormBook (SHA-256: e1259d936c3993e5d8671b8b5e2362eb974984d046871296c50cf51ee1a96e4b) начинает взаимодействие с С2:
- thechurchinkaty[.]com/nrup/?vLwt1tg=a+HLDFsiIkHuV4rn/wjkuvItWj7ch7WMO9xbFOtVeNEzn7JMPDdWHI+pluLOfQ5QTDqWxNNxIGS7LM9UJKf1d/iZERaTVE3Mnox0RAyMAaysT2DaDQ==&tdCpR=qZUxOL60rvw
1.7 Атака с использованием Snake Keylogger
Как и почти во всех случаях, описанных выше, в начале цепочки используется XLS-файл, например файл Payment_Draft_confirmation.xla (SHA-256: 9caeaefa5ecb508895fef48764dc689f49dd8ad9f7e4de9e52202f1c1db101e1).
При запуске делается обращение к следующему URL:
- qly[.]ai/TZWGK
После этого происходит редирект на следующий URL, который скачивает RTF-документ:
- 207.32.219[.]82/7050/snk/snkisanewthingswhichhelovesornotireallynotknowwhathelookingbutshesloved___alotwiththisnewthingswhathetoldme.doc
RTF скачивает VBS по следующему URL:
- 207.32.219[.]82/7050/imaginepixelimages.jpg
На следующей стадии скачиваются обратно закодированные base64 строчки, которые после расшифровки представляют собой Snake Keylogger (SHA-256: 69dffbdcc112b62bfa93e2d6d95de42ef16e01e428b883b9671056ac93bbce8f):
- 207.32.219[.]82/7050/SNK.txt
После запуска Snake Keylogger сначала делает проверку:
- checkip.dyndns[.]org
Затем по IP проверяет геоинформацию:
- reallyfreegeoip[.]org
Далее происходит запрос для получения SMTP-сервера:
- scratchdreams[.]tk/_send_.php?TS
В конце Snake Keylogger отправляет украденную информацию на легитимный взломанный SMTP-сервер:
1.8 Другие примеры атак
Мы видели и несколько других цепочек атак, например, ниже пример сетевого взаимодействия NjRAT с С2: 167.86.86[.]15:3333:
Однако как в случае с NjRAT, так и с другим вредоносным ПО, цепочки не сильно отличаются от приведенных выше и представляют собой те же атаки, но с разными финальными нагрузками.
Так, например, при изучении инфраструктуры злоумышленника мы заметили, что на тех же IP-адресах, на которых располагались RTF-документы с вшитыми эксплойтами, а также фейковые JPG-файлы с встроенными VBS, располагаются различные RAT, в качестве примера приведем IP C2-сервера zgRAT:
- 94.156.69[.]17
Использование группой легитимных FTP- и SMTP- серверов
Найденные FTP-серверы при исследовании оказались легитимными сервисами, которые, предположительно, злоумышленники заразили и использовали в качестве С2 для эксфильтрации данных, полученных с помощью описанного выше вредоносного ПО.
Во всех случаях легитимные сайты принадлежали различным небольшим компаниям из Мексики, Колумбии и Румынии.
Один из них:
У организации есть активный аккаунт в соцсетях с несколькими тысячами подписчиков и с ссылкой на сайт:
У этой организации, как и в предыдущем случае, есть аккаунт в соцсети с несколькими тысячами подписчиков и с ссылкой на сайт:
Помимо FTP, при исследовании атак на российские компании мы обратили внимание, что группировка использовала SMTP на взломанных серверах, на которых расположены легитимные европейские сайты:
При этом некоторые SMTP-домены были созданы группировкой для того, чтобы выглядеть легитимно. Так, например один из SMTP-доменов, которые группа использовала, — itresinc.com — явно пытался казаться легитимным it-resinc.com.
Злоумышленники использовали эти легитимные и сфальсифицированные SMTP-домены для отправки фишинговых писем и в качестве С2 для рассмотренного вредоносного ПО.
Примечательно, что злоумышленники не использовали в одной атаке одновременно один SMTP и как фишинговый сервис, и как С2.
Примером атаки может быть письмо, отправленное российской организации от легитимного взломанного SMTP-сервера:
В фишинговому письму прикреплен ZIP-архив:
- loading advice.zip SHA-256: ca383ef7a0031ff933907be8b038ccc62ac556bdc0f077d7f9c3022952e62efa
Архив содержит в себе один файл, являющийся Agent Tesla:
- loading advice.exe SHA-256: 84b2a0360556088e4aad29627d4ed15d53b18aa72d9d98b4b0d1be27916c681e
При запуске исполняемый файл выгружает данные на SMTP-сервер, мимикрирующий под легитимный:
- mail.itresinc.com
Атрибуция
В процессе исследования мы обнаружили, что часть кампании была описана аналитиками из Cyble. В описании Cyble присутствует тот же killchain, который видели мы, включая использование стеганографии, а также финальная нагрузка, которая может содержать разнообразные вредоносные ПО типа AgentTesla и Remcos.
Исследователи из Metabase Q также в октябре описали и атрибутировали эту активность, связав ее с деятельностью группировки TA558. В своем репорте исследователи обратили внимание на killchain, который также использовал стеганографию. Исследователи указали, что жертвами, как и ранее в случае с TA558, являются страны Латинской Америки, США, Португалия и Испания. В своем исследовании мы обнаружили, что, хоть TA558 и направлена в основном на страны Латинской Америки, стран-жертв намного больше и группировка атакует совершенно разные страны.
Также на платформе X (бывшем Twitter) исследователь Анкит Анубхав (Ankit Anubhav) в августе делился информацией об использовании группировкой TA558 техники стеганографии, финальная цепочка которой приводила к заражению Quasar RAT.
При этом другой исследователь из Microsoft Игал Литски (Igal Lytzki), сославшись на Анкита Анубхав, описал похожую атаку: он обратил внимание на семплы со стеганографией и Agent Tesla с FTP, на котором содержались логи жертв (о чем он, по его словам, проинформировал последних).
Заключение
Рассмотренные в статье цепочки атак ТА558 в операции SteganoAmor продолжают и сегодня активно затрагивать пользователей в Латинской Америке и по всему миру. Для компрометации организаций группировка продолжает использовать довольно старую уязвимость CVE-2017-11882. Также с помощью описанных в статье техник обфускации, в особенности стеганографии, распространяется широко известное вредоносное ПО, применяемое и в других атаках на протяжении последних лет. Из-за активного использования группировкой легитимных взломанных SMTP-серверов может быть труднее обнаружить факт фишинга, поэтому следует осторожнее подходить к письмам с вложением, даже если эти письма были получены из правительственных организаций или локальных небольших компаний. Также использование легитимных взломанных SMTP- и FTP-серверов и инструментов типа GuLoader может осложнить обнаружение злоумышленников на узле, поэтому компаниям следует активнее мониторить сетевой трафик, а также проверять подозрительную активность, связанную с легитимными сервисами.
Тактики и техники по матрице MITRE ATT&CK
| ID | Имя | Описание |
|---|---|---|
Resource Development |
||
| T1584.004 | Compromise Infrastructure: Server | Группировка использовала легитимные взломанные SMTP-серверы для фишинга. Также группа использовала легитимные взломанные SMTP- и FTP-серверы в качестве С2-сервера |
| T1585.002 | Establish Accounts: Email Accounts | Группировка создавала аккаунты, маскирующиеся под легитимные компании |
| T1586.002 | Compromise Accounts: Email Accounts | Группировка использовала взломанные email-аккаунты для отправки фишинговых писем в компании |
| T1608 | Stage Capabilities | Группировка загружала вредоносное ПО в открытые папки своих серверов, вредоносные картинки — на легитимные сервисы, VB-скрипты — на сайты для хранения текста типа paste.ee |
Initial Access |
||
| T1566 | Phishing | Группировка использовала взломанные email-аккаунты, взломанные SMTP-серверы и спуфинг легитимных аккаунтов для отправки фишинговых писем потенциальным жертвам |
| T1566.001 | Phishing: Spearphishing Attachment | Группировка прикрепляла к своим письмам вредоносные DOCX-документы, XLS-файлы и архивы |
| T1078 | Valid Accounts | Группировка использовала учетные данные, полученные в других атаках, для получения доступа к жертвам |
Execution |
||
| T1053.005 | Scheduled Task/Job: Scheduled Task | Группировка в некоторых из цепочек атак использовала Scheduled Task для запуска вредоносных VB-скриптов |
| T1059.001 | Command and Scripting Interpreter: PowerShell | Группировка использовала Powershell-команды для запуска вредоносного ПО |
| T1059.005 | Command and Scripting Interpreter: Visual Basic | Группировка использовала VB-скрипты в своих цепочках заражения |
| T1203 | Exploitation for Client Execution | Группировка использовала уязвимость Office CVE-2017-11882 для запуска макросов в RTF-документах |
| T1204.002 | User Execution: Malicious File | Группировка во многих случаях полагалась на то, что жертва сама запустит вредоносный файл. Для этого использовались EXE-, VBS- или LNK-файлы с двойным расширением, например .pdf.exe, а также с иконкой, маскирующейся под PDF-файл |
Persistence |
||
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Вредоносное ПО группировка копировала себе в startup-файл для закрепления в системе |
Defense Evasion |
||
| T1027 | Obfuscated Files or Information | Группировка использовала base64 для шифрования полезной нагрузки |
| T1027.003 | Obfuscated Files or Information: Steganography | Группировка использовала технику стеганографии в картинках, загруженных на легитимные сервисы для обоев на рабочий стол |
| T1036 | Masquerading | Группировка маскировала EXE-файлы, используя иконки PDF, Microsoft World и т. д. |
| T1036.007 | Masquerading: Double File Extension | Группировка маскировала EXE-, VBS- или LNK-файлы, используя двойные расширения, например .pdf.exe |
| T1036.008 | Masquerading: Masquerade File Type | Группировка маскировала VBS-скрипты под картинки, а также использовала RTF-документы с уязвимостью CVE, маскируя их под DOCX-документы |
| T1140 | Deobfuscate/Decode Files or Information | Вредоносное ПО группировки декодировало полезную нагрузку, полученную в процессе заражения |
| T1078 | Valid Accounts | Группировка использовала легитимные взломанные SMTP-серверы и email-аккаунты различных компаний для обхода блокировок на уровне почты |
Credential Access |
||
| T1552.001 | Unsecured Credentials: Credentials In Files | Вредоносные ПО группировки собирало учетные данные из файлов, связанных с различными приложениями (такими, как Outlook), или браузеров типа Firefox |
| T1552.002 | Unsecured Credentials: Credentials in Registry | Вредоносное ПО группировки собирало учетные данные из реестра Windows |
Discovery |
||
| T1083 | File and Directory Discovery | Вредоносное ПО группировки обладало возможностями поиска файлов на зараженных компьютерах |
| T1087.001 | Account Discovery: Local Account | Вредоносное ПО группировки собирало информацию об учетной записи на компьютере жертвы |
| T1112 | Modify Registry | Вредоносное ПО группировки, например Remcos, модифицировало реестр |
| T1124 | System Time Discovery | Вредоносное ПО группировки собирало информацию о временной зоне с зараженных комьютеров |
| T1033 | System Owner/User Discovery | Вредоносное ПО группировки получало имя пользователя с зараженных компьютеров |
| T1614 | System Location Discovery | Вредоносное ПО группировки определяло геолокацию жертвы, например через сервис reallyfreegeoip.org |
Collection |
||
| T1056.001 | Input Capture: Keylogging | Вредоносное ПО группировки, например Remcos или Snake Keylogger, использовало функцию захвата клавиш |
| T1115 | Clipboard Data | Вредоносное ПО группировки, получало доступ к буферу обмена на компьютере жертвы |
| T1185 | Browser Session Hijacking | Вредоносное ПО группировки захватывало информацию из браузеров, такую как учетные данные и файлы cookie |
| T1555.003 | Credentials from Password Stores: Credentials from Web Browsers | Вредоносное ПО группировки собирало данные из различных браузеров, таких как Google Chrome, FireFox и Edge |
| T1113 | Screen Capture | Вредоносное ПО группировки обладает функцией захвата экрана на зараженном компьютере |
| T1123 | Audio Capture | Вредоносное ПО группировки обладает функцией захвата звука и прослушивания микрофона на зараженном компьютере |
| T1125 | Video Capture | Вредоносное ПО группировки обладает функцией получения доступа к вебкамере на зараженном компьютере |
Command And Control |
||
| T1001.003 | Data Obfuscation: Protocol Impersonation | Вредоносное ПО группировки использовало TLS-мимикрию для сокрытия трафика взаимодействия с С2-сервером |
| T1071.002 | Application Layer Protocol: File Transfer Protocols | Вредоносное ПО группировки использовало FTP-серверы в качестве С2-серверов |
| T1071.003 | Application Layer Protocol: Mail Protocols | Вредоносное ПО группировки использовало SMTP-серверы в качестве С2-серверов |
| T1102 | Web Service | ПО GuLoader, которое группировка использовала, скачивало вредоносное ПО с Google Drive |
| T1102.001 | Web Service: Dead Drop Resolver | Группировка использовала легитимные сервисы типа paste.ee для хранения текста и для хранения вредоносных скриптов |
| T1105 | Ingress Tool Transfer | Вредоносное ПО группировки, например GuLoader, скачивало дополнительную вредоносную нагрузку на компьютер жертвы |
Exfiltration |
||
| T1048.003 | Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol | Вредоносное ПО группировки, например AgentTesla и SnakeKeylogger, использовало SMTP, FTP и HTTP для выгрузки данных с зараженных хостов |
Impact |
||
| T1496 | Resource Hijacking | Группировка использовала зараженные серверы в своих дальнейших атаках в качестве С2-серверов или для отправки фишинговых писем в другие компании |
Вердикты продуктов Positive Technologies
Индикаторы компрометации
Для поиска обращений к вредоносным индикаторам группировки TA558 в PT NAD воспользуйтесь следующим фильтром:
- rpt.cat ~ "ESC-manual-ta558-*"