С октября 2022 года и до января 2023 года компания Proofpoint наблюдала кластер развивающейся финансово мотивированной активности, которую мы называем "Screentime". Цепочка атак начинается с электронного письма, содержащего вредоносное вложение или URL-адрес, и приводит к появлению вредоносного ПО, которое Proofpoint назвала WasabiSeed и Screenshotter. В некоторых случаях Proofpoint наблюдала активность после эксплойта с участием AHK Bot и Rhadamanthys Stealer.
TA866 APT
Proofpoint отслеживает эту активность под обозначением TA866. По оценке Proofpoint, TA866 - это организованный агент, способный осуществлять хорошо продуманные атаки в масштабе, основываясь на наличии у него пользовательских инструментов, возможности и связях для приобретения инструментов и услуг у других поставщиков, а также растущих объемах активности.
- Активность, по-видимому, имеет финансовую подоплеку и направлена в основном на организации в США и Германии.
- Используя свой набор инструментов, включающий WasabiSeed и Screenshotter, TA866 анализирует активность жертвы по скриншотам, а затем устанавливает бота и крадущую программу.
Начальные типы угроз через электронную почту: Компания Proofpoint наблюдала следующие примеры вредоносных кампаний по электронной почте. Инструменты, используемые угрожающим субъектом на этапе доставки (система распределения трафика (TDS), вложения и т.д.), не обязательно уникальны и могли быть приобретены у других субъектов:
- Вложения Publisher (.pub) с макросами
- URL-адреса, ведущие (через 404 TDS) к файлам Publisher с макросами
- URL-адреса, ведущие (через 404 TDS) к файлам JavaScript
- PDF-файлы с URL-адресами, ведущими (через 404 TDS) к файлам JavaScript.
В открытых источниках сообщается о различных полезных нагрузках после эксплойта, которые Proofpoint не подтвердила, например, полезная нагрузка на основе socket.io. Сторонние исследователи также заметили, что эта активность начинается не с почтового спама, а с рекламы Google Ads.
География: Компания Proofpoint наблюдала кампании, направленные в основном на организации в США. Исследователи Proofpoint также наблюдали спорадическое нацеливание на получателей в других странах, например, на немецких получателей с письмами на немецком языке 8 декабря 2022 года и 24 января 2023 года.
Отрасли, на которые направлены эти кампании: Эти кампании затрагивают все отрасли.
Объемы электронной почты и частота кампаний: Большинство кампаний в октябре и ноябре 2022 года включали лишь ограниченное количество электронных писем и были направлены на небольшое число компаний. Кампании наблюдались в среднем один-два раза в неделю, а сообщения содержали прикрепленные файлы Publisher. В ноябре и декабре 2022 года, примерно в то время, когда угрожающий субъект перешел на использование URL-адресов, масштаб операции увеличился, а объемы электронной почты резко возросли. Типичные кампании состояли из тысяч или даже десятков тысяч электронных писем и наблюдались от двух до четырех раз в неделю. В январе 2023 года частота кампаний снизилась, но объемы электронной почты возросли еще больше.
23-24 января 2023 года компания Proofpoint обнаружила десятки тысяч сообщений электронной почты, направленных на более чем тысячу организаций. Сообщения были направлены на организации в США и Германии. Письма использовали перехват потока, замануху "проверь мою презентацию" и содержали вредоносные URL-адреса, которые инициировали многоступенчатую цепочку атак.
Если пользователь нажимает на URL, он запускает цепочку атак следующим образом:
- URL ведет на 404 TDS, который фильтрует трафик и перенаправляет на загрузку файла JavaScript.
- JavaScript, если запущен пользователем (например, двойным щелчком), загружает и запускает пакет MSI.
- Этот пакет MSI является программой установки WasabiSeed. Он выполняет встроенный VBS-скрипт (WasabiSeed), а также устанавливает постоянство, создавая ярлык автозапуска в папке запуска Windows.
- Сценарий WasabiSeed
- Загружает и запускает второй MSI-файл, содержащий Screenshotter
- Продолжает циклически опрашивать тот же URL для получения дополнительных полезных нагрузок
- Второй MSI-файл содержит компоненты Screenshotter, вредоносной программы, которая имеет несколько вариантов, реализованных на различных языках сценариев. Screenshotter имеет единственную цель - сделать скриншот экрана жертвы и отправить его на командно-контрольный (C2) сервер.
- Взаимодействие акторов: актор угрозы, вероятно, вручную изучает изображение экрана жертвы в свое обычное рабочее время и размещает дополнительные полезные нагрузки для загрузки цикла WasabiSeed, такие как:
- Скриншотер: делает больше скриншотов (если агент не удовлетворен предыдущими скриншотами).
- AHK Bot: начальный компонент цикла (если агент удовлетворен и хочет продолжить атаку)
- AHK Bot: основной компонент бота - еще один бесконечный цикл, который опрашивает и загружает дополнительные AHK-скрипты. Наблюдаемые скрипты включают:
- Domain profiler: определяет домен Active Directory (AD) машины и отправляет его на C2.
- Stealer loader: загружает исполняемый файл stealer и загружает его в память.
- Rhadamanthys: конкретный крадущий модуль, загруженный скриптом AHK Bot's Stealer Loader, был Rhadamanthys.
URL-адреса в этой кампании вели на 404 TDS, систему распределения трафика, которую Proofpoint отслеживает по крайней мере с сентября 2022 года. Proofpoint не знает, продается ли эта услуга на подпольных форумах, но, скорее всего, это общий или продаваемый инструмент, поскольку он участвует в различных фишинговых и вредоносных кампаниях. Хотя использование TDS дает множество преимуществ, обычно угрожающие субъекты используют их для фильтрации только интересующего их трафика на основе географии, приложения браузера, версии браузера, платформы ОС и других факторов.
В этой кампании были замечены сотни случайных URL-адресов в формате https://[domain.tld]/[a-z0-9]{5}. Домены были зарегистрированы в день проведения кампании. Эти домены были зарегистрированы ранее, срок их действия истек, а затем они были повторно проданы оператору TDS. В кампании участвовало 20 доменов, таких как southfirstarea[.]com и black-socks[.]org, размещенных на IP-адресах 178.20.45[.]197 и 185.180.199[.]229.
Если параметры и условия фильтров TDS были удовлетворены, пользователи перенаправлялись на второй URL (enigma-soft[.]com/zm/) с дополнительной фильтрацией (не входящей в TDS). Если и этот фильтр был удовлетворен, пользователи перенаправлялись на третий URL (anyfisolusi[.]com/2/) для загрузки файла JavaScript типа "Document_24_jan-3559116.js".
TA866 - это недавно выявленный угрожающий агент, который распространяет вредоносное ПО по электронной почте, используя как стандартные, так и пользовательские инструменты. Хотя большая часть активности наблюдалась с октября 2022 года, исследователи Proofpoint выявили несколько кластеров активности с 2019 года, которые пересекаются с активностью TA866. Большая часть активности, наблюдаемой Proofpoint в последнее время, позволяет предположить, что недавние кампании имеют финансовую мотивацию, однако оценка исторической активности, связанной с ними, позволяет предположить возможную дополнительную цель шпионажа.
Использование Screenshotter для сбора информации о скомпрометированном хосте перед развертыванием дополнительных полезных нагрузок указывает на то, что угрожающий агент вручную просматривает заражения для выявления ценных целей. Профилирование AD вызывает особое беспокойство, поскольку последующие действия могут привести к компрометации всех узлов, подключенных к домену.
Важно отметить, что для того, чтобы компрометация была успешной, пользователь должен нажать на вредоносную ссылку и, в случае успешной фильтрации, взаимодействовать с файлом JavaScript для загрузки и запуска дополнительной полезной нагрузки. Организациям следует ознакомить конечных пользователей с этой техникой и поощрять их сообщать о подозрительных электронных письмах и других действиях.
Indicators of Compromise
Domains
- annemarieotey.com
- black-socks.org
- bluecentury.org
- duinvest.info
- duncan-technologies.net
- expresswebstores.com
- fgpprlaw.com
- footballmeta.com
- gfcitservice.net
- listfoo.org
- mikefaw.com
- moosdies.top
- otameyshan.com
- peak-pjv.com
- repossessionheadquarters.org
- samsontech.mobi
- shiptrax24.com
- southfirstarea.com
- styleselect.com
- thebtcrevolution.com
- virtualmediaoffice.com
URLs
- http://109.107.173.72/%serial%
- http://109.107.173.72/screenshot/%serial%
- http://79.137.198.60/1/ke.msi
- http://89.208.105.255/%serial%
- http://89.208.105.255/%serial%-du2
- http://89.208.105.255/download?path=e
SHA256
- 02049ab62c530a25f145c0a5c48e3932fa7412a037036a96d7198cc57cef1f40
- 1f6de5072cc17065c284b21acf4d34b4506f86268395c807b8d4ab3d455b036b
- 292344211976239c99d62be021af2f44840cd42dd4d70ad5097f4265b9d1ce01
- 29e447a6121dd2b1d1221821bd6c4b0e20c437c62264844e8bcbb9d4be35f013
- 322dccd18b5564ea000117e90dafc1b4bc30d256fe93b7cfd0d1bdf9870e0da6
- 3242e0a736ef8ac90430a9f272ff30a81e2afc146fcb84a25c6e56e8192791e4
- 3db3f919cad26ca155adf8c5d9cab3e358d51604b51b31b53d568e7bcf5301e2
- 6e53a93fc2968d90891db6059bac49e975c09546e19a54f1f93fb01a21318fdc
- d0a4cd67f952498ad99d78bc081c98afbef92e5508daf723007533f000174a98
- d934d109f5b446febf6aa6a675e9bcc41fade563e7998788824f56b3cc16d1ed