На этой неделе аналитики Malwarebytes обнаружили новую кампанию, нацелен на немцев, ищущих информацию об украинском кризисе, пытаясь заманить немцев обещанием обновить информацию о текущей угрожающей ситуации в Украине. На самом деле загруженный документ является приманкой для троянца удаленного доступа (RAT), способного похищать данные и выполнять другие вредоносные команды на компьютере жертвы.
PowerShell RAT
Злоумышленники зарегистрировали просроченное немецкое доменное имя collaboration-bw.de, которое официально использовалось как платформа для сотрудничества с целью разработки новых идей для земли Баден-Вюртемберг.
Злоумышленники использовали домен для размещения веб-сайта, похожего на официальный сайт Баден-Вюртемберга baden-wuerttemberg.de.
С помощью этой подделки злоумышленники создали идеальное место для приманки, которую они хотели, чтобы их жертвы загрузили: файл под названием 2022-Q2-Bedrohungslage-Ukraine (threat situation in Ukraine for Q2), предлагаемый через заметную синюю кнопку загрузки.
Сайт обещает важную информацию и советы о кризисе в Украине.
Перевод страницы гласит:
Важная текущая ситуация с угрозами в связи с кризисом в Украине
На этом сайте вы всегда найдете самую важную информацию и советы о том, как справиться с текущей угрозой, связанной с кризисом в Украине. Пожалуйста, скачайте документ прямо сейчас и ознакомьтесь с актуальной информацией. Документ постоянно обновляется и является актуальным. Предложенные нами советы могут быть практически реализованы в повседневной работе, и вы должны внедрить их уже сегодня. Спасибо за вашу поддержку.
Анализ файла
Архивный файл под названием 2022-Q2-Bedrohungslage-Ukraine содержит файл под названием 2022-Q2-Bedrohungslage-Ukraine.chm. Формат CHM - это формат HTML-файла справки Microsoft, который состоит из нескольких скомпилированных HTML-файлов.
При открытии этого файла жертвы получат поддельное сообщение об ошибке, а PowerShell незаметно выполнит команду Base64.
Загруженный сценарий создает папку SecuriyHealthService в каталоге текущего пользователя и помещает в нее два файла: MonitorHealth.cmd и сценарий под названием Status.txt.
Наконец, загруженный сценарий делает MonitorHealth.cmd постоянным, создавая запланированную задачу, которая будет выполнять его каждый день в определенное время.
Status.txt - это RAT, написанный на языке PowerShell. Он начинает свою деятельность со сбора некоторой информации о компьютере жертвы, такой как текущее имя пользователя и рабочий каталог, а также имя хоста компьютера. Он также создает уникальный идентификатор жертвы - clientid.
Однако перед выполнением этих запросов сценарий сначала обходит интерфейс сканирования Windows Antimalware Scan Interface (AMSI) с помощью зашифрованной AES функции под названием bypass. Перед выполнением она расшифровывается с помощью сгенерированного ключа и IV.
Функция обхода, содержащая зашифрованный сценарий для обхода AMSI.
Этот RAT обладает следующими возможностями:
- Загрузка (тип: D0WNl04D): Загрузка файлов с сервера
- Upload (тип: UPL04D): Загрузить файл на сервер
- LoadPS1 (тип: L04DPS1): Загрузка и выполнение сценария PowerShell
- Command (тип: C0MM4ND): Выполнение определенной команды
Атака была проведена продуманно - даже то, что украденные данные были отправлены на немецкое доменное имя kleinm.de, чтобы избежать подозрений.
Indicators of Compromise
Domains
- kleinm.de
- collaboration-bw.de
URLs
- collaboration-bw.de/bedrohung-ukr.html
SHA256
- 2430f68285120686233569e51e2147914dc87f82c7dbdf07fe0c34dbb1aca77c
- 80bad7e0d5a5d2782674bb8334dcca03534aa831c37aebb5962da1cd1bec4130
- a5d8beaa832832576ca97809be4eee9441eb6907752a7e1f9a390b29bbb9fe1f
- fc71522a4125ca4bdc5e5deca4a6498e7f2da4408614c2e1284c3ae8c083a5fd