С января 2021 года компания Mandiant Managed Defense постоянно реагирует на заражения GOOTLOADER. Угрозы широко распространяют GOOTLOADER и затрагивают широкий спектр отраслей и географических регионов.
Начиная с 2022 года, UNC2565 начала вносить заметные изменения в тактику, методы и процедуры (ТТП), используемые в ее операциях. Эти изменения включают использование нескольких вариантов пусковой установки FONELAUNCH, распространение новых дополнительных полезных нагрузок, изменения в загрузчике GOOTLOADER и цепочке заражения, включая внедрение GOOTLOADER.POWERSHELL. Эти изменения свидетельствуют об активном развитии и росте возможностей UNC2565.
Наблюдения Mandiant за активностью GOOTLOADER после компрометации в основном ограничивались внутренней разведкой, поскольку эти вторжения быстро обнаруживались и устранялись.
GOOTLOADER
Заражение GOOTLOADER начинается с того, что пользователь ищет в Интернете документы, связанные с бизнесом, например, шаблоны, соглашения или контракты. Жертву заманивают на взломанный веб-сайт и загружают вредоносный архив, содержащий файл JavaScript под названием GOOTLOADER.
При успешном выполнении файла GOOTLOADER загружаются дополнительные полезные нагрузки, FONELAUNCH и Cobalt Strike BEACON или SNOWCONE, которые сохраняются в реестре. На более поздних этапах эти полезные нагрузки выполняются через PowerShell.
С конца 2020 года кампании GOOTLOADER реализовывали относительно последовательные цепочки заражения. Однако начиная с середины ноября 2022 года в цепочке заражения произошли заметные изменения. До ноября 2022 года типичная цепочка заражения GOOTLOADER выглядела следующим образом:
- Пользователь посещает скомпрометированный UNC2565 сайт (обычно связанный с деловой документацией) и загружает вредоносный ZIP-архив.
- Вредоносный ZIP-архив сохраняется в папке "Загрузки" пользователя.
- Пользователь открывает ZIP-файл и нажимает на .JS-файл внутри.
- JS-файл запускается с помощью WScript.exe.
- Процесс WScript.exe обращается к трем жестко закодированным доменам и загружает две полезные нагрузки, которые сохраняются в реестре.
- WScript.exe сохраняет первую полезную нагрузку реестра (FONELAUNCH) как значение в пути HKCU\SOFTWARE\Microsoft\<STRING>\%USERNAME%0.
- WScript.exe сохраняет вторую полезную нагрузку реестра (обычно BEACON) как значение по пути HKCU\SOFTWARE\Microsoft\<STRING>\%USERNAME%0.
- WScript.exe выполняет сценарий PowerShell, который декодирует и выполняет первую полезную нагрузку. Эта полезная нагрузка представляет собой пусковую установку на базе .NET, которую Mandiant отслеживает как FONELAUNCH.
- WScript.exe выполняет команду PowerShell, которая создает запланированную задачу, выполняющую тот же сценарий PowerShell, упомянутый в предыдущем шаге. Имя пользователя текущей учетной записи будет использоваться для имени задачи, и задача будет установлена на выполнение при входе пользователя в систему.
- Первая полезная нагрузка реестра (FONELAUNCH) декодирует и выполняет вторую полезную нагрузку реестра, которая содержит вредоносное ПО Cobalt Strike BEACON или SNOWCONE.
В ноябре 2022 года компания Managed Defense обнаружила новый вариант GOOTLOADER, отслеживаемый как GOOTLOADER.POWERSHELL, использующий новую цепочку заражения. Этот новый вариант записывает второй файл .JS на диск и создает запланированную задачу для его выполнения. Сценарий обращается к 10 жестко закодированным URL-адресам. Запрос URL содержит закодированные данные о хосте, такие как запущенные процессы и локальные диски. Последующая деятельность аналогична предыдущим версиям GOOTLOADER, где полезная нагрузка записывается в реестр. Цепочка атак этого нового варианта выглядит следующим образом:
- Пользователь посещает UNC2565-компрометированный сайт (обычно связанный с деловой документацией) и загружает вредоносный ZIP-архив.
- Вредоносный ZIP-архив сохраняется в папке "Загрузки" пользователя.
- Пользователь открывает ZIP-архив и щелкает по находящемуся в нем файлу .JS. Это троянская библиотека JavaScript, содержащая обфусцированный файл JScript, который в конечном итоге выполнит GOOTLOADER.POWERSHELL. Недавно замеченные троянские библиотеки JavaScript включают jQuery, Chroma.js и Underscore.js.
- JS-файл запускается с помощью WScript.exe.
- Процесс WScript.exe создает раздутый файл с расширением .LOG в C:\Users\%USERNAME%\AppData\Roaming\<RANDOM_DIRECTORY>\<HARD_CODED_FILE_NAME>. Дроппер записывает еще больше обфусцированного кода JScript, за которым следует вставка случайных символов для увеличения размера файла.
- Файл .LOG переименовывается с расширением .JS.
- Дроппер создает запланированную задачу, которая выполняет новый файл JScript. Задание по расписанию выполняется сразу после создания, но также служит в качестве механизма сохранения для запуска второго файла JScript при следующем входе в систему.
- WScript.exe и CScript.exe запускают процесс PowerShell, который обращается к 10 жестко закодированным доменам.
Собранная информация о жертве включает переменные среды, версию ОС Windows, имена файлов и запущенные процессы. Эта информация сжимается Gzip, кодируется Base64 и отправляется на командно-контрольный сервер (C2) в заголовке Cookie. - C2 возвращает полезную нагрузку, которая выполняется с помощью команды Invoke-Expression PowerShell. Это приводит к загрузке двух полезных нагрузок в ключи реестра: FONELAUNCH и вторичная полезная нагрузка, которая будет выполнена FONELAUNCH (зеркальное отражение шагов с 6 по 10 предыдущей цепочки заражения).
Indicators of Compromise
Domains
- jonathanbartz.com
- jp.imonitorsoft.com
- junk-bros.com
- kakiosk.adsparkdev.com
- kepw.org
- kristinee.com
- lakeside-fishandchips.com
URLs
- https://108.61.242.65/dot.gif
- https://108.61.242.65/submit.php
- https://146.70.78.43/fwlink
- https://146.70.78.43/submit.php
- https://45.150.108.213/ptj
- https://45.150.108.213/submit.php
- https://87.120.254.39/ga.js
- https://87.120.254.39/submit.php
- https://92.204.160.240/load
- https://92.204.160.240/submit.php
MD5
- 04746416d5767197f6ce02e894affcc7
- 08fa99c70e90282d6bead3bb25c358dc
- 1011b2cbe016d86c7849592a76b72853
- 2eede45eb1fe65a95aefa45811904824
- 328b032c5b1d8ad5cf57538a04fb02f2
- 35238d2a4626e7a1b89b13042f9390e9
- 3d768691d5cb4ae8943d8e57ea83cac1
- 53c213b090784a0d413cb00c27af6100
- 7352c70b2f427ef4ff58128a428871d3
- 7a1369922cfb6d00df5f8dd33ffb9991
- 80a79d0c9cbc3c5188b7a247907e7264
- 82607b68e061abb1d94f33a2e06b0d20
- 84f313426047112bce498aad97778d38
- 92a271eb76a0db06c94688940bc4442b
- 961cd55b17485bfc8b17881d4a643ad8
- a0b7da124962b334f6c788c27beb46e3
- a4ee41bd81dc3b842ddb2952d01f14ed
- ab1171752af289e9f85a918845859848
- aec78c1ef489f3f4b621037113cbdf81
- aef6d31b3249218d24a7f3682a00aa10
- af9b021a1e339841cfdf65596408862d
- bee08c4481babb4c0ac6b6bb1d03658e
- d3787939a5681cb6d6ac7c42cd9250b5
- d401dc350aff1e3fd4cc483238208b43
- d6220ca85c44e2012f76193b38881185
- ea2271179e75b652cafd8648b698c6f9
- ec17564ac3e10530f11a455a475f9763
- f9365bf8d4b021a873eb206ec98453d9