Bluebottle group IOCs

security IOC
Опубликовано

Bluebottle - киберпреступная группа, специализирующаяся на целевых атаках на финансовый сектор, продолжает атаки на банки во франкоязычных странах. Группа широко использует "жизнь за счет земли", инструменты двойного назначения и товарные вредоносные программы, при этом в этой кампании не было развернуто никаких пользовательских вредоносных программ.

Bluebottle group

Активность, наблюдаемая Symantec, подразделением Broadcom Software, похоже, является продолжением активности, задокументированной в отчете Group-IB от ноября 2022 года. Деятельность, задокументированная Group-IB, охватывала период с середины 2019 года по 2021 год, и в отчете говорится, что за этот период группа, которую она назвала OPERA1ER, похитила не менее 11 миллионов долларов в ходе 30 целевых атак.

Сходство в тактике, технике и процедурах (ТТП) между деятельностью, задокументированной Group-IB, и деятельностью, замеченной Symantec, заключается в следующем:

  • Один и тот же домен, наблюдаемый в обоих наборах действий: personnel[.]bdm-sa[.]fr
  • Используются одни и те же инструменты: Ngrok; PsExec; RDPWrap; Revealer Keylogger; Cobalt Strike Beacon.
  • Пользовательских вредоносных программ в обоих случаях не обнаружено.
  • Сходство в нацеленности на франкоязычные страны Африки
  • В обоих случаях использовались доменные имена, специфичные для конкретной отрасли и региона.

Хотя это, похоже, является продолжением деятельности, задокументированной Group-IB, активность, отмеченная Symantec, является более недавней, по крайней мере, с июля 2022 года по сентябрь 2022 года, хотя некоторые действия могли начаться еще в мае 2022 года. В последних атаках также использовались некоторые новые ТТП, в том числе:

  • Некоторые признаки того, что злоумышленники могли использовать ISO-файлы в качестве начального вектора заражения.
  • Использование товарной вредоносной программы GuLoader на начальных этапах атаки
  • Признаки того, что злоумышленники взяли на вооружение технику использования драйверов ядра для отключения защитных систем.

Цепочка атак

Начальный вектор заражения неизвестен, но самые первые вредоносные файлы, обнаруженные в сетях жертв, имели названия на французском языке и были посвящены работе. Вероятно, они служили в качестве приманки. В некоторых случаях название вредоносной программы позволяло обмануть пользователя и заставить его думать, что это PDF-файл, например:

  • fiche de poste.exe ("описание вакансии")
  • fiche de candidature.exe ("форма заявления")
  • fiche de candidature.pdf.exe ("форма заявления").

Скорее всего, эти файлы были доставлены жертвам через фишинговое письмо, что соответствует первоначальному вектору заражения, задокументированному Group-IB для активности OPERA1ER.

Хотя основная часть активности, наблюдаемой исследователями Symantec, началась в июле 2022 года, по крайней мере у одной жертвы инфопоисковик с похожей темой именования был обнаружен в сети еще в середине мая 2022 года. В этом случае вредоносная программа поступала в виде ZIP-файла, содержащего исполняемый файл SCR.

  • fiche de candidature(1).zip (ZIP-файл)
  • fiche de candidature.scr (исполняемый SCR-файл).

Файл представляет собой старую, скорее всего, товарную вредоносную программу. Трудно определить, когда он был использован для атаки на организацию. Однако он соответствует векторам заражения, о которых сообщалось, что OPERA1ER использовала его в 2021 году.

Однако вредоносная программа на тему работы в июле была замечена в путях, указывающих на то, что она была смонтирована как CD-ROM. Это может указывать на то, что был вставлен настоящий диск, но также может быть и так, что вредоносный ISO-файл был доставлен жертвам и смонтирован. ISO-файл - это архивный файл, содержащий идентичную копию или образ данных, которые могут быть найдены на оптическом диске. Вредоносные файлы ISO использовались в качестве начального вектора заражения в других кампаниях 2022 года, в том числе вместе с загрузчиком Bumblebee в кампании, где конечной целью была доставка выкупного ПО. Если агенты Bluebottle и OPERA1ER действительно являются одним и тем же, это означает, что они поменяли свои методы заражения между маем и июлем 2022 года. Файлы ISO не были замечены в действиях, задокументированных Group-IB.

Во многих случаях вредоносное ПО, доставляемое жертвам в связи с работой, представляло собой загрузчик товаров под названием GuLoader. GuLoader - это загрузчик на основе shellcode с функциями анти-анализа. Помимо вредоносных файлов, загрузчик размещает некоторые легитимные двоичные файлы в качестве приманки для своей вредоносной деятельности. GuLoader распространялся среди жертв в виде самораспаковывающегося исполняемого файла NSIS. Этот NSIS-скрипт расшифровывает и внедряет обфусцированный шеллкод в другой процесс. Чаще всего в июльской активности наблюдался процесс ieinstal.exe, установщик дополнений для Internet Explorer, но также встречался aspnet_regbrowsers.exe, инструмент регистрации браузеров ASP.NET.

Процесс установки надстройки Internet Explorer, вероятно, использовался для загрузки вредоносного загрузчика .NET с URL-адресов, таких как hxxp://178.73.192[.]15/ca1.exe. Было обнаружено несколько .NET-загрузчиков, которые использовали службу передачи файлов transfer[.]sh для загрузки файла с расширением RTF. Полезная нагрузка неизвестна, но загрузчики разработаны таким образом, что загружают ее как .NET DLL.

После развертывания GuLoader и загрузчиков .NET в сетях жертв были замечены различные другие инструменты, используемые после компрометации. К ним относятся общедоступный троянец удаленного доступа Netwire (RAT) и Quasar RAT с открытым исходным кодом. Злоумышленники также использовали коммерческий посткомпрометирующий инструмент Cobalt Strike Beacon. Вариант Cobalt Strike Beacon, использованный Bluebottle, применял технику API hammering, чтобы затруднить анализ.

Использование подписанного драйвера для уничтожения процессов

Злоумышленники также развернули набор вредоносных программ, целью которых, скорее всего, было отключение продуктов безопасности в сетях жертв. Вредоносная программа состояла из двух компонентов: управляющей DLL, которая считывает список процессов из третьего файла, и подписанного "вспомогательного" драйвера, контролируемого первым драйвером и используемого для завершения процессов в списке.

Злоумышленники использовали Windows Service Control (sc.exe) для загрузки драйвера:

sc create fgt binPath= %TEMP%\fgt.sys type= kernel
sc start fgt

В августе 2022 года компания Symantec заметила, что тот же драйвер использовался в предполагаемых атаках, предшествующих вымогательству, против некоммерческой организации в Канаде. Другим инструментом, обнаруженным в сети жертвы, был Infostealer.Eamfo, инструмент взлома, который был связан с атаками Cuba, Noberus и Lockbit ransomware.

Один и тот же драйвер, по-видимому, использовался несколькими группами в аналогичных целях. Компания Mandiant задокументировала финансово мотивированную группу угроз под названием UNC3944, использующую этот же драйвер для отключения средств защиты. Она назвала этот драйвер POORTRY, а вредоносное ПО, использующее его, - STONESTOP. Однако в то время Mandiant отметила, что "POORTRY появляется в различных группах угроз и соответствует вредоносному ПО, доступному для покупки или свободно распространяемому между различными группами".

Sophos также задокументировала случай, когда операторы Cuba ransomware использовали загрузчик под названием BURNTCIGAR для загрузки подписанных драйверов с целью уничтожения средств защиты. Загрузчик работает аналогично вредоносной DLL, замеченной в данном случае.

Об этих драйверах сообщили Microsoft другие производители, и компания приостановила действие учетных записей разработчиков и добавила средства защиты для их устранения.

Краткосрочной целью Bluebottle в этой недавней активности, по-видимому, отчасти было постоянство и кража учетных данных. Злоумышленники использовали методы и инструменты для кражи учетных данных, такие как изменение параметров WDigest и развертывание Mimikatz, а также кейлоггер с открытым исходным кодом для поддельного экрана входа в систему.

Для латерального перемещения злоумышленники использовали инструмент тестирования на проникновение SharpHound для перечисления доверия к доменам и выполнили дополнительные файлы в организациях-жертвах с помощью PsExec.

Для обеспечения устойчивости, по имеющимся данным, злоумышленники добавили дополнительные учетные записи с помощью команды 'net localgroup /add'. Они также развернули скрипт RDPWrap с открытым исходным кодом для включения нескольких одновременных RDP-сессий на системах жертв. Этот скрипт также изменяет реестр и открывает порт 3389 на брандмауэре для пропуска трафика RDP.

Есть основания полагать, что эта деятельность, скорее всего, была "ручной", а не автоматизированной. Хотя мы не видим дальнейшей деятельности злоумышленников, жертвы и пересечение с деятельностью, задокументированной Group-IB, все указывает на то, что эта деятельность, скорее всего, финансово мотивирована.

Жертвы

Три различных финансовых учреждения в трех африканских странах были скомпрометированы в результате активности, замеченной Symantec, причем во всех трех организациях было заражено несколько машин.

Активность в сети одного из зараженных учреждений выглядела следующим образом:

Первая активность была замечена в середине июля 2022 года, когда на зараженной системе было обнаружено вредоносное ПО на тему работы. Затем был развернут загрузчик, после чего был обнаружен инструмент для взлома Sharphound, а также инструмент под названием fakelogonscreen.

Примерно через три недели после первоначального взлома сети злоумышленники были замечены в использовании командной строки и PsExec для бокового перемещения. Похоже, что на этом этапе атаки злоумышленники "держали руки на клавиатуре". Злоумышленники использовали различные инструменты двойного назначения и "живые" инструменты для различных целей, включая:

  • Quser для обнаружения пользователей
  • Ping для проверки подключения к Интернету
  • Ngrok для туннелирования сети
  • Net localgroup /add для добавления пользователей
  • Fortinet VPN клиент - вероятно, для вторичного канала доступа
  • Xcopy для копирования файлов обертки RDP
  • Netsh для открытия порта 3389 в брандмауэре
  • Autoupdatebat 'Automatic RDP Wrapper installer and updater' инструмент для включения нескольких одновременных RDP сессий в системе
  • SC privs для изменения разрешений агента SSH - это могло быть вмешательство для кражи ключей или установки другого канала.

Использовались такие вредоносные инструменты, как:

  • GuLoader
  • Mimikatz
  • Revealer Keylogger
  • Backdoor.Cobalt
  • Netwire RAT
  • Вредоносная DLL и драйвер для убийства процессов

В этой сети также было развернуто множество других неизвестных файлов. Последняя активность в этой сети была замечена в сентябре 2022 года, но инструмент туннелирования Ngrok оставался в сети до ноября 2022 года.

Некоторые из этих же инструментов были развернуты и на других жертвах, причем GuLoader был замечен на всех трех жертвах. Другие виды активности, связывающие активность во всех трех жертвах, включают:

  • Один и тот же загрузчик .NET
  • Использование вредоносного драйвера
  • По крайней мере один совпадающий URL-адрес transfer[.]sh

Заключение

Хотя Symantec не может подтвердить, успешно ли Bluebottle монетизировала кампании, которые мы видели, как она проводила, успех группы в монетизации своей деятельности в период с 2019 по 2021 год, задокументированный Group-IB, указывает на то, что эта группа имела значительный успех в прошлом.

Эффективность ее кампаний означает, что Bluebottle вряд ли прекратит эту деятельность. Судя по всему, ее деятельность сосредоточена на франкоязычных странах Африки, поэтому финансовым учреждениям в этих странах следует сохранять повышенную бдительность в связи с деятельностью, задокументированной в этом блоге. Злоумышленники, судя по всему, являются франкоговорящими, поэтому нельзя исключать возможность того, что они распространят эту деятельность на франкоговорящие страны в других регионах.

Глоссарий упомянутых инструментов

Cobalt Strike: Готовый инструмент, который можно использовать для выполнения команд, внедрения других процессов, повышения уровня текущих процессов или выдачи себя за другие процессы, а также для загрузки и выгрузки файлов. Он якобы имеет законное применение в качестве инструмента тестирования на проникновение, но неизменно используется злоумышленниками.

GuLoader: Загрузчик на основе shellcode с функциями анти-анализа. В дополнение к вредоносным файлам загрузчик развертывает некоторые легитимные двоичные файлы в качестве приманки для своей вредоносной деятельности.

Mimikatz: свободно распространяемый инструмент, способный изменять привилегии, экспортировать сертификаты безопасности и восстанавливать пароли Windows в открытом виде в зависимости от конфигурации.

Netsh: Утилита командной строки Windows, которая позволяет пользователю настраивать и отображать состояние различных ролей и компонентов сервера сетевых коммуникаций.

Netwire RAT: троянская программа удаленного доступа, способная красть пароли, вести учет нажатий клавиш и включающая возможности удаленного управления.

Ngrok: инструмент туннелирования, позволяющий пользователю открыть безопасный туннель, который позволяет мгновенно открыть доступ к удаленным системам без изменения сетевых настроек или открытия портов на маршрутизаторе.

Ping: инструмент, который находится в свободном доступе в Интернете и позволяет пользователям определить, отвечает ли определенное место в сети.

PsExec: Инструмент Microsoft Sysinternals для выполнения процессов на других системах. Этот инструмент в основном используется злоумышленниками для бокового перемещения в сетях жертв.

Quasar RAT: троянец удаленного доступа, который в основном нацелен на системы Windows и позволяет пользователям удаленно управлять другими компьютерами по сети.

Quser: Отображает информацию о сеансах пользователей на сервере Remote Desktop Session Host. Вы можете использовать эту команду, чтобы узнать, вошел ли определенный пользователь в систему на определенном сервере Remote Desktop Session Host.

RDPWrap: Инструмент с открытым исходным кодом, обеспечивающий поддержку Remote Desktop Host и одновременных сеансов RDP.

Revealer Keylogger: Бесплатный инструмент, который записывает все, что набирается на компьютере.

SharpHound: Может собирать данные с контроллеров домена и систем Windows, подключенных к домену.

Indicators of Compromise

IPv4

  • 185.225.73.165

Domains

  • banqueislamik.ddrive.online
  • personnel.bdm-sa.fr

URls

  • http://178.73.192.15/ca1.exe
  • http://46.246.86.12/ca3.exe
  • http://85.239.34.152/download/XWO_UnBkJ213.bin
  • http://banqueislamik.ddrive.online:4448/ZPjH
  • http://files.ddrive.online:444/load
  • http://files.ddrive.online:4448/a
  • https://transfer.sh/get/mKwvWI/NHmZJu.rtf
  • https://transfer.sh/get/RTPlqa/oISxUP.rtf
  • https://transmissive-basin.000webhostapp.com
  • https://udapte.adesy.in

SHA256

  • 0440ef40c46fdd2b5d86e7feef8577a8591de862cfd7928cdbcc8f47b8fa3ffc
  • 0612ef9d2239edeab05f421e3188e2cfcadacbaeafbc9b8e35e778f7234aaa3b
  • 07ca6122fde46d48f71bcde356d5eeb89040e4a6e83441968a9dade98dc36fe5
  • 088110b0ee3588a4822049cf60fff31c67323a9b5993eae3104cc9737a47ce0c
  • 117c66c0aa3f7a5208b3872806d481fd8d682950573c2a7acaf7c7c7945fe10d
  • 1f6be4c29dfb50f924377444e5ca579d3020985a357533fc052226f0091febf6
  • 31eb1de7e840a342fd468e558e5ab627bcb4c542a8fe01aec4d5ba01d539a0fc
  • 3d0fd0444a9e295135ecfdc8c87ddc6dcdff63969c745e0218469332aef18dfe
  • 47718762dc043f84fb641b1e0a8c65401160cc2e558fd38c14d5d35a114b93cb
  • 4acd4335ca43783ff52c0ccbb7e757ea14fb261c33d08268e85ed0ac34e0abec
  • 5090f311b37309767fb41fa9839d2770ab382326f38bab8c976b83ec727e6796
  • 5e245281f4924c139dd90c581fc79105ea19980baa68eeccf5bf36ae613399b9
  • 6db5e2bb146b11182f29d03b036af4e195044f0ef7a8f7c4429f5d4201756b8f
  • 818284e7ea0a4bd64ba0eda664f51877ed8c6d35bf052898559dbf4ad8030968
  • 8495a328fdd4afd33c3336e964802018d44c1dda15b804560743d6276e926218
  • 91b3546dde60776ae3ed84fdf4f6b5fba7d39620f0a6307280265cde3a33206b
  • 938f50cb2e2d670497209e8cef5bf1042f752b6bf76d1547d68040b5a27f618b
  • 9c4c9fa4d8935df811cae0ce067de54ffdb5cfb4f99b4bc36c5aa2a1ac6f9c8f
  • a257eeebba15afecf76b89a379e066e5ed79a2bb9da349c1fdb5a24316abc753
  • a539961f80feb689546a2e334b03aed81252a04fae032e2d28ed9a7000b3afff
  • ac98e6bf6d16904355b1c706bc2b79761a8b09044da40f2c8bce35142ef8bcc8
  • ae4ff662c959cf24df621a2c0b934ed1fa1c26a270a180f695cd5295579afbbd
  • b4adbb5d017d6452c2e1700584261cd3170ee5a14ac658424945f15177494ba1
  • c56c915cd0bc528bdb21d6037917d2e4cde18b2ef27a4b74a0420a5f205869e6
  • ca75b0864d8308efe94eb0822de55eb7f5cfd482d2190100dfd00d433ee790a0
  • ce2ea1807d984e1392599d05f7ab742bae4f20f8ef80c5a514fbdeede2ff7e55
  • d5b3b1304739986298ba9b7c3ff8b40b3740233d6bb02437ce61a20ee87468bc
  • d5b8009dcb50aac8a889e24f038a52fe09721d142a3f1eaa74ac37fff45e9ba2
  • e5633d656dea530a62f5ad2792f253e74453712be34d2eadfb49190f7a9ee10b
  • e933ec0f52cbc60b92134d48b08661b1af25c7d93ff5041fc704559b45bd85b8
  • ec2146655e2c04bf87b8db754dd2e92b8c48c4df47b64a9adc1252efd8618e62
  • f276c6a25d6b865c6202978f1d409e8b74e063263eab517f249cf6d3ad3fae4a
  • f4fba2181668f766fdfbd1362420a53ac0b987f999c95baf5dbe235fd3bad4b8
  • fa6ca0a168f3400a00dc43f1be07296f4111d7ad9b275809217a9269dd613ae8

 

Похожие записи:
  1. Cisco Talos делится информацией о недавней кибератаке на Cisco
  2. Witchetty APT IOCs
  3. Earth Longzhi (APT41) IOCs
  4. Exmatter IOCs
  5. Guloader IOCs - Part 3
Bluebottle Cobalt Strike GuLoader Mimikatz Netwire RAT Quasar RAT Symantec
Добавить комментарий