В сентябре 2022 года компания Mandiant обнаружила предполагаемую операцию команды Turla Team, в настоящее время отслеживаемую как UNC4210, которая распространяла разведывательную утилиту KOPILUWAK и бэкдор QUIETCANARY среди жертв вредоносного ПО ANDROMEDA. Компания Mandiant обнаружила, что UNC4210 перерегистрировала как минимум три просроченных командно-контрольных (C2) домена ANDROMEDA и начала профилировать жертв для выборочного развертывания KOPILUWAK и QUIETCANARY в сентябре 2022 года.
ANDROMEDA - это обычная товарная вредоносная программа, широко распространенная в начале 2010-х годов. Конкретная версия, C2 которой был взломан UNC4210, была впервые загружена на VirusTotal в 2013 году и распространялась с зараженных USB-носителей. Mandiant Managed Defense продолжает наблюдать заражения вредоносным ПО ANDROMEDA в самых разных отраслях, однако Mandiant наблюдала только подозрительные полезные нагрузки Turla.
Turla Team
Распространение USB
Вредоносное ПО, распространяющееся по USB, продолжает оставаться полезным вектором для получения первоначального доступа в организации. В данном инциденте USB, зараженный несколькими штаммами старых вредоносных программ, был вставлен в украинскую организацию в декабре 2021 года. Когда пользователь системы дважды щелкнул по файлу вредоносной ссылки (LNK), замаскированному под папку на USB-накопителе, устаревший образец ANDROMEDA был автоматически установлен и начал подавать сигналы.
ANDROMEDA или 2013 хочет вернуть свое вредоносное ПО
Версия ANDROMEDA, которая была установлена в C:\Temp\TrustedInstaller.exe (MD5: bc76bd7b332aa8f6aedbb8e11b7ba9b6), была впервые загружена на VirusTotal в 2013-03-19 году, а несколько C2-доменов либо истекли, либо были закрыты исследователями. После выполнения двоичный файл ANDROMEDA устанавливал постоянство, сбрасывая другой образец ANDROMEDA в C:\ProgramData\Local Settings\Temp\mskmde.com (MD5: b3657bcfe8240bc0985093a0f8682703) и добавляя ключ реестра Run для его выполнения при каждом входе пользователя в систему. Один из доменов C2, "suckmycocklameavindustry[.]in", срок действия которого истек, был заново зарегистрирован 2022-01-19 регистратором с защитой конфиденциальности, использующим Dynadot в качестве регистратора. UNC4210 использовал этот C2 для составления профиля жертв перед отправкой дроппера первой стадии KOPILUWAK, если жертва считалась интересной.
Mandiant выявил несколько различных узлов с образцами маячков ANDROMEDA stager. Однако мы наблюдали только один случай, когда вредоносная программа, связанная с Turla, была сброшена на дополнительных этапах, что говорит о высоком уровне специфичности при выборе жертв, получающих последующую полезную нагрузку. В течение всего времени, пока Mandiant отслеживала C2, используемые для доставки полезной нагрузки следующего этапа, серверы оставались работоспособными только в течение короткого периода в несколько дней, а затем уходили в офлайн на несколько недель.
Разведка с помощью старого надежного KOPILUWAK
После нескольких месяцев работы маячков ANDROMEDA без какой-либо значительной активности, UNC4210 загрузил и исполнил самораспаковывающийся архив WinRAR (WinRAR SFX), содержащий KOPILUWAK (MD5: 2eb6df8795f513c324746646b594c019), на хост жертвы 6 сентября 2022 года. Интересно, что злоумышленники загрузили и запустили один и тот же дроппер WinRAR SFX, содержащий KOPILUWAK, семь раз в период с 6 по 8 сентября. Каждый раз, когда KOPILUWAK забрасывал свою сеть, он пытался передать значительные объемы данных на C2 manager.surro[.]am. Неясно, почему UNC4210 делал это, так как команды профилирования жестко закодированы в KOPILUWAK и не могли дать разные наборы данных с одного и того же хоста.
KOPILUWAK - это разведывательная утилита на базе JavaScript, используемая для облегчения C2-коммуникаций и профилирования жертв. Впервые о ней публично сообщил Касперский, а Mandiant отслеживает ее с 2017 года. Исторически сложилось так, что утилита доставлялась жертвам в виде вредоносного вложения первой стадии. Это соответствует историческому повторному использованию Turla инструментов и экосистем вредоносного ПО, включая KOPILUWAK, в кибероперациях.
Внедренный процесс ANDROMEDA "wuauclt.exe" сделал GET-запрос к "yelprope.cloudns[.]cl" с целевым URL "/system/update/version." yelprope.cloudns[.]cl - это динамический DNS-поддомен ClouDNS, который ранее использовался ANDROMEDA и был перерегистрирован UNC4210. Затем внедренный процесс ANDROMEDA загрузил и выполнил WinRAR SFX, содержащий KOPILUWAK в C:\Users\[имя пользователя]\AppData\Local\Temp\0171ef74.exe (MD5: 2eb6df8795f513c324746646b594c019). Примечательно, что этот формат имени файла также использовался в операциях Temp.Armageddon. При выполнении, самораспаковывающийся архив создавал и выполнял KOPILUWAK из C:\Windows\Temp\xpexplore.js (MD5: d8233448a3400c5677708a8500e3b2a0).
В данном случае UNC4210 использовал KOPILUWAK в качестве утилиты "первого этапа" профилирования, поскольку KOPILUWAK был первой пользовательской вредоносной программой, использованной этим предполагаемым кластером Turla Team после ANDROMEDA. Используя KOPILUWAK, UNC4210 провел базовую сетевую разведку на машине жертвы с помощью whoami, netstat, arp и net, ища все текущие TCP-соединения (с PID) и сетевые ресурсы. Злоумышленники также проверили логические диски и список текущих запущенных процессов на машине. Результат каждой команды собирался в файл %TEMP%\result2.dat, а затем загружался на C2 KOPILUWAK "manager.surro[.]am" посредством POST-запросов.
Через два дня после первоначального выполнения и разведки, проведенной с KOPILUWAK, 8 сентября 2022 года, Mandiant обнаружил, что UNC4210 дважды загружал QUIETCANARY на хост, но выполнял команды через него только во второй раз. QUIETCANARY - это легкий бэкдор .NET, также публично известный как "Tunnus", который UNC4120 использовал в основном для сбора и утечки данных от жертвы. Технические подробности об этой вредоносной программе см. в приложении к анализу QUIETCANARY.
После обширного профилирования жертвы, проведенного KOPILUWAK, внедренный ANDROMEDA процесс "wuauclt.exe" сделал GET-запрос к "yelprope.cloudns[.]cl" с целевым URL "/system/update/cmu", который загрузил и выполнил QUIETCANARY. QUIETCANARY (MD5: 403876977dfb4ab2e2c15ad4b29423ff) затем был записан на диск.
Затем UNC4210 взаимодействовал с бэкдором QUIETCANARY и примерно через 15 минут начал использовать QUIETCANARY для сжатия, хранения и эксфильтрации данных.
Заключение
Поскольку старая вредоносная программа ANDROMEDA продолжает распространяться со взломанных USB-устройств, эти перерегистрированные домены представляют опасность, так как новые угрожающие субъекты могут получить контроль и распространить новые вредоносные программы среди жертв. Эта новая техника использования доменов с истекшим сроком действия, используемых широко распространенными, финансово мотивированными вредоносными программами, может обеспечить последующие компрометации широкого круга объектов. Кроме того, старые вредоносные программы и инфраструктура могут быть с большей вероятностью пропущены защитниками, занимающимися сортировкой разнообразных предупреждений.
Это первое наблюдение Mandiant за подозреваемыми Turla, нацеленными на украинские организации. Оперативная тактика кампании, похоже, соответствует соображениям Turla по планированию и выгодному позиционированию для получения первоначального доступа к системам жертв, поскольку группа использовала USB и проводила обширное профилирование жертв в прошлом. В данном случае, обширное профилирование, достигнутое с января, возможно, позволило группе выбрать конкретные системы жертв и адаптировать последующие усилия по эксплуатации для сбора и утечки информации, имеющей стратегическое значение для российских приоритетов. Тем не менее, мы отмечаем некоторые элементы этой кампании, которые, по-видимому, отличаются от исторических операций Turla. И KOPILUWAK, и QUIETCANARY были загружены последовательно в разное время, что может свидетельствовать о том, что группа действовала в спешке или с меньшей заботой об операционной безопасности, испытывала некоторые недостатки в работе или использовала автоматизированные инструменты.
Indicators of Compromise
IPv4
- 212.114.52.24
IPv4 Port Combinations
- 194.67.209.186:443
Domains
- anam0rph.su
- manager.surro.am
- mskmde.com
- suckmycocklameavindustry.in
- yelprope.cloudns.cl
MD5
- 2eb6df8795f513c324746646b594c019
- 403876977dfb4ab2e2c15ad4b29423ff
- 8954caa2017950e0f6269d6f6168b796
- b3657bcfe8240bc0985093a0f8682703
- bc76bd7b332aa8f6aedbb8e11b7ba9b6
- d8233448a3400c5677708a8500e3b2a0
Signatrures
alert tcp any any -> any any ( msg:"503 irc_bot_cmd Trojan.Downloader.Andromeda AI callback-trojan block"; content:".php HTTP/1"; nocase; content:"|0a|"; content:"|0a|"; within:4; content:"POST "; content:"Mozilla/4.0|0d 0a|"; content:!"Referer: "; nocase; content:!"Cookie: "; nocase; content:!"Accept-Language: "; nocase; content:!"Accept-Encoding: "; nocase; content:!"pharma"; nocase; content:!"|0d0a|TE:"; nocase; pcre:"/POST (http\:\/\/\S*\.[a-z0-9]{1,4})?/[a-z]{1,3}\.php HTTP/"; reference:fe_date,2013-07-11; reference:a_type,mal.dsh; reference:mal_hash,bc76bd7b332aa8f6aedbb8e11b7ba9b6; priority:90; sid:89039193; rev:3; )