DarkGaboon
Российские компании атакует ранее не известная APT-группировка, остававшаяся незамеченной более полутора лет

• DarkGaboon оставалась незамеченной более полутора лет: злоумышленники атакуют российские организации как минимум с мая 2023 года. Атаки нацелены на финансовые подразделения компаний.
• Группировка использует Revenge RAT и шаблоны документов, загруженные с легитимных российских ресурсов, посвященных финансовой тематике.
• DarkGaboon подписывает вредоносный код поддельными сертификатами X.509, якобы выпущенными на имя российских компаний.
• DarkGaboon использует омоглифы в названиях вредоносных семплов.
• Группировка хорошо ориентируется в особенностях названий российских документов, а также знакома с русскоязычной лексикой.

В середине октября 2024 года департамент киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировал таргетированную рассылку Revenge RAT, нацеленную на сотрудников финансовых подразделений российских компаний. Особое внимание привлекли необычные африканские названия управляющей инфраструктуры злоумышленников. Углубившись в исследование, мы выявили и отследили новую, ранее не описанную APT-группировку, атакующую российские компании как минимум с мая 2023 года. В связи с использованием африканских названий, регулярными обновлениями семплов и приманок, «пятнистостью» названий вредоносных файлов и продолжительной скрытностью в киберпространстве мы назвали группировку DarkGaboon — в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро.

В октябре 2024 года внутренние системы киберразведки PT Expert Security Center зафиксировали атаку группировки DarkGaboon, нацеленную на один из российских банков. На корпоративный адрес одного из региональных филиалов российского банка было отправлено электронное письмо с заголовком «Сверка взаиморасчетов», содержащее грамотный с точки зрения синтаксиса и пунктуации сопроводительный текст на русском языке, посвященный бухгалтерским вопросам, и архив-приманку «Акт сверка.z». Вложенный архив содержал:

• чистый шаблон документа Microsoft Excel, скачанный с одного из российских тематических ресурсов;
• пояснительную записку на русском языке, побуждающую открывать файлы непременно на компьютере;
• вредоносную нагрузку в виде защищенного протектором .NET Reactor файла Revenge RAT, использующего значок PDF-документа.

Для отправки вредоносного письма группировка DarkGaboon использовала украденный адрес электронной почты nina.romanenko.1985@mail[.]ru, ранее скомпрометированный путем заражения компьютера владельца стилером. В день атаки после успешной отправки нескольких семплов Revenge RAT электронный адрес был заблокирован провайдером сервиса электронной почты.

В качестве управляющей инфраструктуры использовались расположенный за пределами России Windows-узел 31.13.224[.]86 с панелью управления Revenge RAT и Dynamic DNS домены с африканскими названиями kilimanjaro.run[.]place и kilimanjaro.cloudns[.]nz.

Поводом для более глубокого изучения выявленной атаки послужила группа из 11 семплов Revenge RAT и связанных с ними 8 управляющих Dynamic DNS доменов, привлекшие наше внимание названием кластера — kilimanjaro. На момент обнаружения угрозы и ее исследования (21.10.2024) все 8 Dynamic DNS доменов были делегированы одному расположенному на территории Болгарии серверу.

В результате комплексного исследования обнаруженных семплов и управляющей инфраструктуры кластера kilimanjaro нам удалось установить, что за ними стоит одна группировка, аналогичная активность которой в отношении российских компаний прослеживается как минимум с мая 2023 года. Однако, в отличие от октября 2024 года, ранее в качестве управляющей инфраструктуры использовался один Dynamic DNS домен и группа сменяющихся в среднем один раз в месяц управляющих серверов, расположенных за пределами России (кластер rampage).

Данные PDNS расположенного на территории Болгарии сервера с IP-адресом 31.13.224[.]86 прямо указывают на делегирование ему доменов из кластеров rampage и kilimanjaro с разницей во времени в одну неделю.

Несколько схожих по названиям, способу доставки и сопутствующим файлам-приманкам семплов Revenge RAT из арсенала DarkGaboon, скомпилированных еще летом 2024-го, но использованных в атаках только осенью, столкнулись с указанным «переходным периодом» в жизни инфраструктуры группировки: при обращении к управляющему центру на старом домене rampage.myvnc[.]com семплы подключались к новому болгарскому серверу с IP-адресом 31.13.224[.]86, одновременно закрепленному за группой новых Dynamic DNS доменов из кластера kilimanjaro (фиолетовый цвет на общей схеме).

Кроме того, использование кластеров управляющей вредоносной инфраструктуры rampage и kilimanjaro одной группировкой подтверждается тем, что соответствующие им семплы Revenge RAT имеют схожие названия и используют одинаковые способы доставки, сопутствующие файлы-приманки и поддельные сертификаты X.509 (зеленый цвет на общей схеме). 

Также удалось обнаружить общую заметку на pastebin.com, к которой за дополнительной информацией об управляющей инфраструктуре обращались семплы, использованные в атаках 2023 и 2024 годов (синий цвет на общей схеме).

Не остается сомнений, что за атаками 2023 и 2024 годов с использованием управляющей инфраструктуры кластеров kilimanjaro и rampage стоит одна и та же группировка — DarkGaboon. «Переходный период» и смена инфраструктуры осенью 2024-го связаны с тем, что, несмотря на то, что долгое время группировка оставалась в тени и обходила радары средств киберразведки, в августе 2024 года использование кластера rampage стало ненадежным и неэффективным для злоумышленников в связи с его попаданием в фиды с индикаторами компрометации от FinCERT. Полагаем, именно этим обусловлена резкая смена управляющего Dynamic DNS домена из кластера rampage и его замена целой группой приемников из кластера kilimanjaro, а также ошибки, допущенные группировкой DarkGaboon в спешке, которые позволили идентифицировать связь указанных кластеров.

В ходе исследования мы также обнаружили, что все управляющие Dynamic DNS домены группировки DarkGaboon зарегистрированы с использованием интернет-сервиса пакетной регистрации подобных доменов, фигурирующего во многих обучающих видео по использованию Revenge RAT.

В атаках группировки DarkGaboon, обнаруженных нами в ходе исследования, в качестве полезной нагрузки использовались защищенные криптером сборки с инкапсулированными семплами Revenge RAT и DLL-файлами с RunPE-методами, зашифрованными алгоритмом AES.

Первым эшелоном защиты от обнаружения выступает обфускация вредоносного кода протектором .NET Reactor с использованием следующих техник:

• control flow;
• anti-ildasm;
• rename;
• namespace obfuscation;
• mutation;
• method protection;
• proxy calls.

Используемые для разрешения IP-адреса управляющего сервера Dynamic DNS домены и нестандартные сетевые порты прописываются непосредственно в модифицированные криптером сборки при их компиляции.

Для обхода эвристического анализа активируется пятиминутный таймер: по истечении времени запускаются экстракция и расшифровка полезной нагрузки. Функция Broodje_Mexicano («мексиканский сэндвич») извлекает два инкапсулированных в сборку объекта (array и array2), являющихся массивами байтов, и вместе с прописанными в коде ключом и солью передает их на AES-дешифровку в функцию _GetFunctions.

Массив байтов array является зашифрованным семплом Revenge RAT, array2 — зашифрованным DLL-файлом с RunPE-методами инжектирования вредоносного кода в легитимные процессы Windows, обеспечивающим дополнительную защиту от обнаружения и повышение привилегий в зараженной системе. 

После экстракции и запуска семплы Revenge RAT закрепляются в зараженной системе одним из способов: путем саморепликации в директорию автозапуска либо путем саморепликации в директорию C:\Users\<user>\AppData\Roaming и создания в директории автозапуска LNK-файла, использующего значок PDF.

В обоих случаях модификации подвергаются ключи реестра Windows, отвечающие за автозапуск программ при включении операционной системы.

Закрепившись в системе, семплы Revenge RAT собирают сведения об оборудовании и программном обеспечении с использованием следующих методов:

• GetHardDiskSerialNumber (серийный номер жесткого диска);
• GetAV (установленные средства антивирусной защиты);
• GetCpu (информация о процессоре);
• GetCamera (информация о веб-камере);
• GetSystem (информация об операционной системе);
• GetIp (текущий IP-адрес);
• GetActiveWindow (текущее активное окно).

Собранная информация о зараженном узле, закодированная в Base64, передается на нестандартный сетевой порт управляющего сервера в ожидании команд и подключений операторов.

В качестве управляющих серверов DarkGaboon использует расположенные за пределами России Windows-узлы с панелью управления Revenge RAT, управляемые через RDP-подключение с учетной записью Administrator.

В рамках исследования этой киберугрозы нам удалось выявить 369 уникальных файлов, связанных с инфраструктурой группировки DarkGaboon, из которых:

• 51% (189) являются исполняемыми файлами Revenge RAT. 
• 33% (122) являются архивами-приманками.
• 12% (43) являются документами-приманками Microsoft Office.
• 4% (15) являются LNK-файлами для закрепления в зараженной системе.

DarkGaboon проявляют стабильность в обновлении используемых комплектов файлов, ежемесячно выпуская в свет в среднем около 10 новых вредоносных сборок с Revenge RAT и пропорциональное им количество файлов-приманок. Подобная «змеиная» дисциплина и регулярное «сбрасывание старой шкуры» позволили группировке более полутора лет скрытно атаковать российские компании, не прибегая к использованию изощренных методик и редкого вредоносного программного обеспечения. Более того, с марта 2024 года отмечается почти двукратный рост (по сравнению с 2023-м) ежемесячных обновлений сборок с Revenge RAT, что может говорить о наращивании группировкой наступательного арсенала и увеличении ландшафта атак на российские компании.

Почти половина всех загрузок семплов на публичные сервисы проверки файлов приходится на Россию, что в совокупности с другими артефактами (о которых речь пойдет в следующем разделе) указывает на явную направленность атак DarkGaboon на российские компании. В ходе исследования мы идентифицировали и уведомили жертв группировки, среди которых:

• учреждения кредитно-финансовой сферы;
• крупные торговые сети;
• объекты спорта и туризма;
• компании сферы услуг.

В процессе исследования вредоносного арсенала группировки DarkGaboon удалось выявить ряд артефактов, выделяющих ее на общем фоне всей киберактивности с использованием Revenge RAT:

1.    Пробел в написании слова «прикрепленном». Полагаем, что ошибка возникла при наборе текста вручную, так как онлайн-переводчики не допускают подобной описки.

2.    Все 43 вариации документов-приманок Microsoft Office сгенерированы путем незначительных модификаций 4 шаблонов документов, скачанных с российских интернет-ресурсов финансовой направленности. Вероятно, этот прием используется в целях изменения хеш-сумм файлов-приманок и избегания обнаружения атак по признаку использования одних и тех же приманок, ранее попавших в антивирусные базы.

3.    Подавляющее большинство обнаруженных семплов имеет русскоязычные названия, связанные с бухгалтерской отчетностью.

4.    С августа 2024 года DarkGaboon использует омоглифы в названиях вредоносных семплов, придавая им «пятнистость» (подобную змеиной шкуре) и делая их незаметными для строгих поисковых правил, нацеленных на файлы исключительно с кириллическими названиями.

Полагаем, что использование омоглифов помогает группировке оставаться незаметной для средств киберразведки. Эту технику мы обнаружили в названиях 84% семплов Revenge RAT.

5.    Все семплы Revenge RAT, используемые группировкой DarkGaboon, подписаны поддельными сертификатами X.509, в большинстве своем имеющими русские названия владельцев. В частности, используются:

• термины, характерные для бухгалтерской отчетности (Акт сверки, Акт сверки взаиморасчетов);
• транслитерация терминов, характерных для бухгалтерской отчетности (1c Sverka, sverka, Buh);
• названия популярных в финансовой сфере продуктов «1С» (1C-connect, 1c бухгалтерия);
• названия российских IT-компаний: «Лаборатория Касперского» (AO Kaspersky Lab, Kaspersky Security), «Доктор Веб» (Doctor Web Ltd.), «Яндекс» (Yandex LLC), «Астра» (Astra);
• названия российских городов, особенно Москвы (Moscow Z LLC, Moscow LLC, Moscow, Moskvabad City, Krasnodar);
• прочее (Russia Buhgalter Union, Russia, Zabix, Eugene).

Вишенка на торте — сертификат X.509 с весьма непристойным именем владельца, подчеркивающим знание участниками DarkGaboon русскоязычной обсценной лексики.

Отдельная группа сертификатов X.509, судя по названиям их владельцев, посвящена американским городам и штатам (Alabama, Boston, Dakota, Detroit, Nevada) и брендам (Marvel, Coca Cola), однако никаких признаков их использования для атак на пользователей из США мы не выявили. Стоит отметить, что наряду с уникальными сертификатами X.509, хорошо демаскирующими вредоносный арсенал группировки, DarkGaboon также используют и весьма популярные в киберпреступной среде сертификаты, характерные для большого количества вредоносных семплов разных групп. Применение этих сертификатов обусловлено использованием группировкой популярных криптеров для обфускации и подписания вредоносного кода.

Российские компании продолжают оставаться не только объектами кибершпионажа, но и целью атак со стороны финансово-мотивированных APT-группировок. При этом кейс группировки DarkGaboon показывает, что злоумышленники могут оставаться незамеченными более полутора лет, мимикрируя, подобно гадюке, под окружающую среду путем использования общедоступного вредоносного арсенала и пряча свои цифровые следы в «зарослях» иной преступной киберактивности.

Особую озабоченность вызывают обнаруженные нами артефакты, прямо указывающие на отсутствие у участников группировки DarkGaboon проблем в написании и чтении текстов на русском языке, серфинге в российском интернет-пространстве, составлении названий, характерных для русскоязычных документов. Все это (вкупе с использованием русскоязычной обсценной лексики) свидетельствует о том, что участники группировки, вероятнее всего, — носители русского языка.

Стабильное обновление наступательного арсенала говорит о том, что группировка DarkGaboon не планирует останавливаться на достигнутом и продолжит наносить «змеиные укусы» финансовым подразделениям российских компаний. Департамент киберразведки экспертного центра безопасности Positive Technologies продолжит отслеживать активность группировки и своевременно предупреждать жертв о готовящихся кибератаках.

Чтобы защититься от атак DarkGaboon, рекомендуется:

• Использовать лицензированные средства антивирусной защиты с актуальными и регулярно обновляющимися базами сигнатур.
• Проверять с помощью средств антивирусной защиты вложения в электронных письмах, поступающих от недоверенных и подозрительных отправителей. Насторожиться стоит, если отсутствует история переписки с отправителем, а также если отправитель не является контрагентом, использует электронный адрес с нестандартным доменом, акцентирует внимание на срочности изучения документов, особенно подчеркивает названия государственных учреждений, регуляторов, надзорных ведомств.
• Не открывать защищенные паролями архивы и вложенные файлы без их предварительной проверки средствами антивирусной защиты.
• Отключить сокрытие расширений файлов, проверять реальные расширения файлов: не открывать файлы, значок которых не соответствует реальному расширению файла; не открывать файлы, содержащие в конце названия несколько расширений, разделенных точкой.
• Регулярно проводить обучение и тренинги сотрудников по безопасному использованию электронной почты и противодействию методам социальной инженерии.