Служба военной контрразведки и команда CERT Polska (CERT.PL) заметили широкомасштабную кампанию шпионажа направленную на сбор информации от иностранных министерств и дипломатических учреждений учреждений. Большинство выявленных целей кампании расположены в странах-членах НАТО, Европейского союза и, в меньшей степени, в Африке.
Cozy Bear (APT29) APT
Многие элементы наблюдаемой кампании - инфраструктура, используемые методы и инструменты - совпадают.
Используемые методы и инструменты - частично или полностью совпадают с деятельностью, описанной в прошлом, которую Microsoft называла "NOBELIUM"
и компанией Mandiant как "APT29". Субъект, стоящий за ними, был связан, среди прочего, с кампанией под названием "SOLARWINDS " и инструментами "SUNBURST", "ENVYSCOUT " и "BOOMBOX ", а также с многочисленными другими кампаниями по шпионажу.
Во всех наблюдаемых случаях злоумышленники использовали технику spear phishing. Электронные письма, выдающие себя за посольства европейских стран, отправлялись избранным сотрудникам дипломатических представительств. В корреспонденции содержалось приглашение на встречу или для совместной работы над документами. В теле сообщения или в прикрепленном PDF-документе содержалась ссылка, якобы ведущая на календарь посла, детали встречи или загружаемый файл.
Ссылка вела на взломанный веб-сайт, содержащий фирменный скрипт актера, публично именуемый "ENVYSCOUT". Он использует технику HTML Smuggling, при которой вредоносный файл, размещенный на странице, декодируется с помощью JavaScript, когда страница открывается, а затем загружается на устройство жертвы. Таким образом, вредоносный файл сложнее обнаружить на стороне сервера, где он хранится. На веб-странице также отображается информация, призванная уверить жертву в том, что она загрузила правильное вложение.
В ходе описанной кампании были замечены три различные версии инструмента ENVYSCOUT, в которые постепенно добавлялись новые механизмы, затрудняющие анализ.
Наблюдавшиеся ранее кампании, связанные с "NOBELIUM" и "APT29", использовали для доставки вредоносного ПО файлы .ZIP или .ISO. Во время описанной выше кампании в дополнение к вышеупомянутым форматам файлов также использовались файлы .IMG. Образы дисков ISO и IMG на компьютерах под управлением Windows автоматически монтируются в файловую систему при открытии, что приводит к отображению их содержимого в проводнике Windows. Кроме того, они не несут на себе так называемой "метки веба", то есть пользователь не будет предупрежден о том, что файлы были загружены из Интернета.
Для того чтобы заставить пользователя запустить вредоносную программу, злоумышленник использовал различные приемы. Одним из них был файл ярлыка Windows (LNK), притворяющийся документом, но на самом деле запускающий скрытую библиотеку DLL с инструментами актера. Также была замечена техника боковой загрузки DLL, использующая подписанный исполняемый файл для загрузки и выполнения кода, содержащегося в скрытой библиотеке DLL, путем размещения ее в том же каталоге под именем, выбранным в соответствии с записями в таблице импорта. На более поздней стадии кампании имя исполняемого файла содержало много пробелов, чтобы расширение exe было трудно обнаружить.
Субъект использовал различные инструменты на разных этапах описанной кампании. Все перечисленные ниже инструменты являются уникальными для описываемого набора мероприятий. Подробный технический анализ каждого из них включен в отдельные документы:
- SNOWYAMBER - инструмент, впервые использованный в октябре 2022 года, злоупотребляющий сервисомф Notion7 для связи и загрузки дальнейших вредоносных файлов. Было замечено две версии этого инструмента.
- HALFRIG - впервые использовался в феврале 2023 года. Этот инструмент отличается от других встроенным кодом, запускающим инструмент COBALT STRIKE.
- QUARTERRIG - инструмент, впервые использованный в марте 2023 года, разделяющий часть кода с HALFRIG. Наблюдались две версии этого инструмента.
Инструменты SNOWYAMBER и QUARTERRIG использовались в качестве так называемых загрузчиков. Оба инструмента отправляли актеру IP-адрес, а также компьютер и имя пользователя. Они использовались для оценки того, представляет ли жертва интерес для агента и является ли она средой для анализа вредоносного ПО. Если зараженная рабочая станция проходила ручную проверку, вышеупомянутые загрузчики использовались для доставки и запуска коммерческих инструментов COBALT STRIKE или BRUTE RATEL. HALFRIG, с другой стороны, работает как так называемый загрузчик - он содержит полезную нагрузку COBALT STRIKE и запускает ее автоматически.
Несмотря на наблюдаемые изменения в инструментах, многие элементы кампании повторяются. К ним относятся:
- Способ построения инфраструктуры. Субъект, стоящий за кампанией шпионажа, предпочитает использовать уязвимые веб-сайты, принадлежащие случайным организациям.
- Тема электронной почты. Все приобретенные электронные письма, использованные в кампаниях, использовали тему переписки между дипломатическими структурами.
- Использование инструмента, публично называемого ENVYSCOUT. Этот скрипт использовался актером по крайней мере с 20219 года. В ходе кампании были замечены изменения в коде инструмента, но они не оказали существенного влияния на его функциональность.
- Ссылка на инструмент ENVYSCOUT предоставлялась жертве в виде ссылки, встроенной в тело письма или в тело прикрепленного PDF-файла.
- Использование образов дисков ISO и IMG.
- Использование техники под названием "боковая загрузка DLL", которая использует не в редоносный исполняемый файл с цифровой подписью для запуска инструментов агента.
- Использование коммерческих инструментов COBALT STRIKE и BRUTE RATEL.
Indicators of Compromise
IPv4
- 51.75.210.218
- 85.195.89.91
- 91.218.183.90
Domains
- badriatimimi.com
- communitypowersports.com
- gatewan.com
- pateke.com
- sanjosemotosport.com
- sawabfoundation.net
- sharpledge.com
- sylvio.com.br
URLs
- gatewan.com/c/msdownload/update/others/2021/10/8PaDBDxLtokI3eH8
- gatewan.com/c/msdownload/update/others/2021/10/se9fW4z8WJtmMyPQu
- humanecosmetics.com/category/noteworthy/6426-7346-9789
- inovaoftalmologia.com.br/form.html
- literaturaelsalvador.com/Instructions.html
- literaturaelsalvador.com/Schedule.htm
- parquesanrafael.cl/note.html
- pateke.com/auth/login.php
- pateke.com/index.php
- sawabfoundation.net/note.html
- sawabfoundation.net/p.php?ip=[IP]&ua=[USER_AGENT]
- sharpledge.com/login.php
- signitivelogics.com/BMW.html
- signitivelogics.com/Schedule.html
- sylvio.com.br/form.php
- totalmassasje.no/schedule.php
MD5
- 0e594576bb36b025e80eab7c35dc885e
- 0e5ed33778ee9c020aa067546384abcb
- 1609bcb75babd9a3e823811b4329b3b9
- 166f7269c2a69d8d1294a753f9e53214
- 22adbffd1dbf3e13d036f936049a2e98
- 2ffaa8cbc7f0d21d03d3dd897d974dba
- 3aca0abdd7ec958a539705d5a4244196
- 5b6d8a474c556fe327004ed8a33edcdb
- 800db035f9b6f1e86a7f446a8a8e3947
- 82ecb8474efe5fedcb8f57b8aafa93d2
- 83863beee3502e42ced7e4b6dacb9eac
- 8dcac7513d569ca41126987d876a9940
- 9159d3c58c5d970ed25c2db9c9487d7a
- abc87df854f31725dd1d7231f6f07354
- b1820abc3a1ce2d32af04c18f9d2bfc3
- bc4b0bd5da76b683cc28849b1eed504d
- bd4cbcd9161e365067d0279b63a784ac
- cf36bf564fbb7d5ec4cec9b0f185f6c9
- d0efe94196b4923eb644ec0b53d226cc
- d2027751280330559d1b42867e063a0f
- db2d9d2704d320ecbd606a8720c22559
- f532c0247b683de8936982e86876093b
SHA1
- 02cd4148754c9337dfa2c3b0c31d9fdd064616a0
- 15511f1944d96b6b51291e3a68a2a1a560d95305
- 1f65d068d0fbaec88e6bcce5f83771ab42a7a8c5
- 3fd43de3c9f7609c52da71c1fc4c01ce0b5ac74c
- 52932be0bd8e381127aab9c639e6699fd1ecf268
- 6382ae2061c865ddcb9337f155ae2d036e232dfe
- 6dff9a9f13300a5ce72a70d907ff7854599e990a
- 86dcdf623d0951e2f804c9fb4ef816fa5e6a22c3
- 8eb64670c10505322d45f6114bc9f7de0826e3a1
- a677b6aa958fe02cac0730d36e8123648e02884f
- a8a82a7da2979b128cbeddf4e70f9d5725ef666b
- aaf973a56b17a0a82cf1b3a49ff68da1c50283d4
- b260d80fa81885d63565773480ca1e436ab657a0
- b91e71d8867ed8bf33ec39d07f4f7fa2c1eeb386
- bacb46d2ce5dfcaf8544125903f69f01091bc3d6
- c938934c0f5304541087313382aee163e0c5239c
- ca1ef3aeed9c0c5cfa355b6255a5ab238229a051
- d9d40cb3e2fe05cf223dc0b592a592c132340042
- e418d37fdcf4c288884bfe744b416cbdb0243a9e
- f61e0d09be2fc81d6f325aa7041be6136a747c2d
- fbb482415f5312ed64b3a0ebee7fed5e6610c21a
SHA256
- 032855b043108967a6c2de154624c16b70a0b7d0d0a0e93064b387f59537cc1e
- 10f1c5462eb006246cb7af5d696163db5facc452befbfd525f72507bb925131d
- 15d6036b6b8283571f947d325ea77364c9d48bfa064a865cd24678a466aa5e38
- 18cc4c1577a5b3793ecc1e14db2883ffc6bf7c9792cf22d953c1482ffc124f5a
- 35271a5d3b8e046546417d174abd0839b9b5adfc6b89990fc67c852aafa9ebb0
- 381a3c6c7e119f58dfde6f03a9890353a20badfa1bfa7c38ede62c6b0692103c
- 3c4c2ade1d7a2c55d3df4c19de72a9a6f68d7a281f44a0336e55b6d0f54ec36a
- 4d92a4cecb62d237647a20d2cdfd944d5a29c1a14b274d729e9c8ccca1f0b68b
- 673f91a2085358e3266f466845366f30cf741060edeb31e9a93e2c92033bba28
- 6c55195f025fb895f9d0ec3edbf58bc0aa46c43eeb246cfb88eef1ae051171b3
- 86edfd6c7a2fab8c50a372494e3d5b08c032cca754396f6e288d5d4c5738cb4c
- 91b42488d1b8e5b547b945714c76c2af16b9566b35757bf055cec1fee9dff1b0
- 9c6683fbb0bf44557472bcef94c213c25a56df539f46449a487a40eecb828a14
- a42dd6bea439b79db90067b84464e755488b784c3ee2e64ef169b9dcdd92b069
- c03292fca415b51d08da32e2f7226f66382eb391e19d53e3d81e3e3ba73aa8c1
- cb470d77087518ed7bc53ca624806c265ae2485d40ec212acc2559720940fb27
- cfa65036aff012d7478694ea733e3e882cf8e18f336af5fba3ed2ef29160d45b
- d1455c42553fab54e78c874525c812aaefb1f3cc69f9c314649bd6e4e57b9fa9
- ddf218e4e7ccd5e8bd502fb115d1e7fbfaa393fb7e0b3b9001168caebc771c50
- e957326b2167fa7ccd508cbf531779a28bfce75eb2635ab81826a522979aeb98
- ec687a447ca036b10c28c1f9e1e9cef9f2078fdbc2ffdb4d8dd32e834b310c0d
- efeb7d9d0fabe464a32c4e33fe756d6ef7a9b369c0f1462b3dd573b6b667488e