Turla Team IOCs

security IOC

В сентябре 2022 года компания Mandiant обнаружила предполагаемую операцию команды Turla Team, в настоящее время отслеживаемую как UNC4210, которая распространяла разведывательную утилиту KOPILUWAK и бэкдор QUIETCANARY среди жертв вредоносного ПО ANDROMEDA. Компания Mandiant обнаружила, что UNC4210 перерегистрировала как минимум три просроченных командно-контрольных (C2) домена ANDROMEDA и начала профилировать жертв для выборочного развертывания KOPILUWAK и QUIETCANARY в сентябре 2022 года.

ANDROMEDA - это обычная товарная вредоносная программа, широко распространенная в начале 2010-х годов. Конкретная версия, C2 которой был взломан UNC4210, была впервые загружена на VirusTotal в 2013 году и распространялась с зараженных USB-носителей. Mandiant Managed Defense продолжает наблюдать заражения вредоносным ПО ANDROMEDA в самых разных отраслях, однако Mandiant наблюдала только подозрительные полезные нагрузки Turla.

Turla Team

Распространение USB

Вредоносное ПО, распространяющееся по USB, продолжает оставаться полезным вектором для получения первоначального доступа в организации. В данном инциденте USB, зараженный несколькими штаммами старых вредоносных программ, был вставлен в украинскую организацию в декабре 2021 года. Когда пользователь системы дважды щелкнул по файлу вредоносной ссылки (LNK), замаскированному под папку на USB-накопителе, устаревший образец ANDROMEDA был автоматически установлен и начал подавать сигналы.

ANDROMEDA или 2013 хочет вернуть свое вредоносное ПО

Версия ANDROMEDA, которая была установлена в C:\Temp\TrustedInstaller.exe (MD5: bc76bd7b332aa8f6aedbb8e11b7ba9b6), была впервые загружена на VirusTotal в 2013-03-19 году, а несколько C2-доменов либо истекли, либо были закрыты исследователями. После выполнения двоичный файл ANDROMEDA устанавливал постоянство, сбрасывая другой образец ANDROMEDA в C:\ProgramData\Local Settings\Temp\mskmde.com (MD5: b3657bcfe8240bc0985093a0f8682703) и добавляя ключ реестра Run для его выполнения при каждом входе пользователя в систему. Один из доменов C2, "suckmycocklameavindustry[.]in", срок действия которого истек, был заново зарегистрирован 2022-01-19 регистратором с защитой конфиденциальности, использующим Dynadot в качестве регистратора. UNC4210 использовал этот C2 для составления профиля жертв перед отправкой дроппера первой стадии KOPILUWAK, если жертва считалась интересной.

Mandiant выявил несколько различных узлов с образцами маячков ANDROMEDA stager. Однако мы наблюдали только один случай, когда вредоносная программа, связанная с Turla, была сброшена на дополнительных этапах, что говорит о высоком уровне специфичности при выборе жертв, получающих последующую полезную нагрузку. В течение всего времени, пока Mandiant отслеживала C2, используемые для доставки полезной нагрузки следующего этапа, серверы оставались работоспособными только в течение короткого периода в несколько дней, а затем уходили в офлайн на несколько недель.
Разведка с помощью старого надежного KOPILUWAK

После нескольких месяцев работы маячков ANDROMEDA без какой-либо значительной активности, UNC4210 загрузил и исполнил самораспаковывающийся архив WinRAR (WinRAR SFX), содержащий KOPILUWAK (MD5: 2eb6df8795f513c324746646b594c019), на хост жертвы 6 сентября 2022 года. Интересно, что злоумышленники загрузили и запустили один и тот же дроппер WinRAR SFX, содержащий KOPILUWAK, семь раз в период с 6 по 8 сентября. Каждый раз, когда KOPILUWAK забрасывал свою сеть, он пытался передать значительные объемы данных на C2 manager.surro[.]am. Неясно, почему UNC4210 делал это, так как команды профилирования жестко закодированы в KOPILUWAK и не могли дать разные наборы данных с одного и того же хоста.

KOPILUWAK - это разведывательная утилита на базе JavaScript, используемая для облегчения C2-коммуникаций и профилирования жертв. Впервые о ней публично сообщил Касперский, а Mandiant отслеживает ее с 2017 года. Исторически сложилось так, что утилита доставлялась жертвам в виде вредоносного вложения первой стадии. Это соответствует историческому повторному использованию Turla инструментов и экосистем вредоносного ПО, включая KOPILUWAK, в кибероперациях.

Внедренный процесс ANDROMEDA "wuauclt.exe" сделал GET-запрос к "yelprope.cloudns[.]cl" с целевым URL "/system/update/version." yelprope.cloudns[.]cl - это динамический DNS-поддомен ClouDNS, который ранее использовался ANDROMEDA и был перерегистрирован UNC4210. Затем внедренный процесс ANDROMEDA загрузил и выполнил WinRAR SFX, содержащий KOPILUWAK в C:\Users\[имя пользователя]\AppData\Local\Temp\0171ef74.exe (MD5: 2eb6df8795f513c324746646b594c019). Примечательно, что этот формат имени файла также использовался в операциях Temp.Armageddon. При выполнении, самораспаковывающийся архив создавал и выполнял KOPILUWAK из C:\Windows\Temp\xpexplore.js (MD5: d8233448a3400c5677708a8500e3b2a0).

В данном случае UNC4210 использовал KOPILUWAK в качестве утилиты "первого этапа" профилирования, поскольку KOPILUWAK был первой пользовательской вредоносной программой, использованной этим предполагаемым кластером Turla Team после ANDROMEDA. Используя KOPILUWAK, UNC4210 провел базовую сетевую разведку на машине жертвы с помощью whoami, netstat, arp и net, ища все текущие TCP-соединения (с PID) и сетевые ресурсы. Злоумышленники также проверили логические диски и список текущих запущенных процессов на машине. Результат каждой команды собирался в файл %TEMP%\result2.dat, а затем загружался на C2 KOPILUWAK "manager.surro[.]am" посредством POST-запросов.

Через два дня после первоначального выполнения и разведки, проведенной с KOPILUWAK, 8 сентября 2022 года, Mandiant обнаружил, что UNC4210 дважды загружал QUIETCANARY на хост, но выполнял команды через него только во второй раз. QUIETCANARY - это легкий бэкдор .NET, также публично известный как "Tunnus", который UNC4120 использовал в основном для сбора и утечки данных от жертвы. Технические подробности об этой вредоносной программе см. в приложении к анализу QUIETCANARY.

После обширного профилирования жертвы, проведенного KOPILUWAK, внедренный ANDROMEDA процесс "wuauclt.exe" сделал GET-запрос к "yelprope.cloudns[.]cl" с целевым URL "/system/update/cmu", который загрузил и выполнил QUIETCANARY. QUIETCANARY (MD5: 403876977dfb4ab2e2c15ad4b29423ff) затем был записан на диск.

Затем UNC4210 взаимодействовал с бэкдором QUIETCANARY и примерно через 15 минут начал использовать QUIETCANARY для сжатия, хранения и эксфильтрации данных.

Заключение

Поскольку старая вредоносная программа ANDROMEDA продолжает распространяться со взломанных USB-устройств, эти перерегистрированные домены представляют опасность, так как новые угрожающие субъекты могут получить контроль и распространить новые вредоносные программы среди жертв. Эта новая техника использования доменов с истекшим сроком действия, используемых широко распространенными, финансово мотивированными вредоносными программами, может обеспечить последующие компрометации широкого круга объектов. Кроме того, старые вредоносные программы и инфраструктура могут быть с большей вероятностью пропущены защитниками, занимающимися сортировкой разнообразных предупреждений.

Это первое наблюдение Mandiant за подозреваемыми Turla, нацеленными на украинские организации. Оперативная тактика кампании, похоже, соответствует соображениям Turla по планированию и выгодному позиционированию для получения первоначального доступа к системам жертв, поскольку группа использовала USB и проводила обширное профилирование жертв в прошлом. В данном случае, обширное профилирование, достигнутое с января, возможно, позволило группе выбрать конкретные системы жертв и адаптировать последующие усилия по эксплуатации для сбора и утечки информации, имеющей стратегическое значение для российских приоритетов. Тем не менее, мы отмечаем некоторые элементы этой кампании, которые, по-видимому, отличаются от исторических операций Turla. И KOPILUWAK, и QUIETCANARY были загружены последовательно в разное время, что может свидетельствовать о том, что группа действовала в спешке или с меньшей заботой об операционной безопасности, испытывала некоторые недостатки в работе или использовала автоматизированные инструменты.

Indicators of Compromise

IPv4

  • 212.114.52.24

IPv4 Port Combinations

  • 194.67.209.186:443

Domains

  • anam0rph.su
  • manager.surro.am
  • mskmde.com
  • suckmycocklameavindustry.in
  • yelprope.cloudns.cl

MD5

  • 2eb6df8795f513c324746646b594c019
  • 403876977dfb4ab2e2c15ad4b29423ff
  • 8954caa2017950e0f6269d6f6168b796
  • b3657bcfe8240bc0985093a0f8682703
  • bc76bd7b332aa8f6aedbb8e11b7ba9b6
  • d8233448a3400c5677708a8500e3b2a0

Signatrures

alert tcp any any -> any any ( msg:"503 irc_bot_cmd Trojan.Downloader.Andromeda AI callback-trojan block"; content:".php HTTP/1"; nocase; content:"|0a|"; content:"|0a|"; within:4; content:"POST "; content:"Mozilla/4.0|0d 0a|"; content:!"Referer: "; nocase; content:!"Cookie: "; nocase; content:!"Accept-Language: "; nocase; content:!"Accept-Encoding: "; nocase; content:!"pharma"; nocase; content:!"|0d0a|TE:"; nocase; pcre:"/POST (http\:\/\/\S*\.[a-z0-9]{1,4})?/[a-z]{1,3}\.php HTTP/"; reference:fe_date,2013-07-11; reference:a_type,mal.dsh; reference:mal_hash,bc76bd7b332aa8f6aedbb8e11b7ba9b6; priority:90; sid:89039193; rev:3; )

SEC-1275-1
Добавить комментарий