BlackCat APT IOCs - SEC-1275-1

Недавно группа реагирования на инциденты Trend Micro работала с одной из целевых организаций после выявления крайне подозрительных действий с помощью службы обнаружения целевых атак (TAD). В ходе расследования злоумышленники использовали вредоносную рекламу для распространения вредоносного ПО через клонированные веб-страницы легитимных организаций. В данном случае в распространении участвовала веб-страница известного приложения WinSCP, Windows-приложения с открытым исходным кодом для передачи файлов.

Содержание

BlackCat APT

Рекламные платформы, такие как Google Ads, позволяют компаниям показывать рекламу целевой аудитории, чтобы увеличить посещаемость и повысить продажи. Распространители вредоносного ПО злоупотребляют той же функциональностью в технике, известной как malvertising, когда выбранные ключевые слова перехватываются для показа вредоносной рекламы, которая заманивает ничего не подозревающих пользователей поисковых систем в загрузку определенных типов вредоносного ПО.

Целевая организация провела совместное расследование с командой Trend и обнаружила, что киберпреступники совершили следующие несанкционированные и вредоносные действия в сети компании:

Похищение привилегий администратора высшего уровня и использование этих привилегий для совершения несанкционированных действий.
Попытка установить постоянный и черный доступ к среде клиента с помощью инструментов удаленного управления, таких как AnyDesk
Пытался украсть пароли и пытался получить доступ к серверам резервного копирования.

Вполне вероятно, что предприятие существенно пострадало бы от атаки, если бы вмешательство было предпринято позже, тем более что субъектам угрозы уже удалось получить первоначальный доступ к привилегиям администратора домена и начать создание бэкдоров и персистентного доступа.

Заражение начинается, когда пользователь ищет "WinSCP Download" в поисковой системе Bing. Вредоносная реклама приложения WinSCP отображается над результатами органического поиска. Реклама ведет на подозрительный веб-сайт, содержащий руководство по использованию WinSCP для автоматизации передачи файлов.

С этой первой страницы пользователь перенаправляется на клонированную веб-страницу загрузки WinSCP (winsccp[.]com). Как только пользователь выбирает кнопку "Загрузить", ISO-файл загружается с зараженной веб-страницы WordPress (hxxps://events.drdivyaclinic[.]com). Недавно злоумышленник изменил URL-адрес полезной нагрузки финальной стадии на файлообменный сервис 4shared.

Общий поток заражения включает доставку начального загрузчика, получение ядра бота и, наконец, сброс полезной нагрузки, как правило, бэкдора.

В общем, злоумышленник использует следующую цепочку заражения с помощью malvertising:

Пользователь ищет приложение, вводя поисковый запрос в строке поиска (например, Google или Bing). В данном примере пользователь хочет загрузить приложение WinSCP и вводит поисковый запрос "WinSCP Download" в строке поиска Bing.
Над результатами органического поиска пользователь находит вредоносную рекламу приложения WinSCP, которая ведет на вредоносный веб-сайт.
Когда пользователь выбирает кнопку "Загрузить", начинается загрузка ISO-файла в его систему.

В Твиттере пользователь @rerednawyerg впервые заметил ту же цепочку заражения, имитирующую приложение AnyDesk. Когда пользователь монтирует ISO, он содержит два файла, setup.exe и msi.dll. Мы приводим здесь подробную информацию об этих двух файлах:

Setup.exe: Переименованный исполняемый файл msiexec.exe.
Msi.dll: DLL с отложенной загрузкой (не загружается, пока код пользователя не попытается сослаться на символ, содержащийся в DLL), которая будет действовать как дроппер для настоящего установщика WinSCP и вредоносной среды выполнения Python, ответственной за загрузку маячков Cobalt Strike.

Файлы, загружаемые после того, как пользователь смонтирует ISO

После выполнения setup.exe он вызовет msi.dll, которая впоследствии извлечет папку Python из раздела DLL RCDATA в качестве реального установщика WinSCP для установки на машину. Будут созданы две установки Python3.10 - легитимная установка python в %AppDataLocal%\Python-3.10.10 и другая установка в %Public%\Music\python, содержащая троянизированный python310.dll. Наконец, DLL создаст механизм постоянства, чтобы сделать ключ запуска с именем "Python" и значением C:\Users\Public\Music\python\python\pythonw.exe.

Когда запускается исполняемый файл pythonw.exe, он загружает модифицированный/троянизированный обфусцированный файл python310.dll, содержащий маяк Cobalt Strike, который подключается к 167[.]88[.]164[.]141.

Для получения основного модуля маяка используются следующие серверы командно-контрольного управления (C&C):

pp.py hxxps://167.88.164.40/python/pp2
work2.py hxxps://172.86.123.127:8443/work2z
work2-2.py hxxps://193.42.32.58:8443/work2z
work3.py hxxps://172.86.123.226:8443/work3z

На машине также было создано несколько запланированных задач, выполняющих пакетные файлы для сохранения. Эти пакетные файлы выполняют сценарии Python, приводящие к выполнению маяков Cobalt Strike в памяти. Интересно, что сценарии Python используют модуль marshal для выполнения псевдокомпилированного кода (.pyc), который используется для загрузки и выполнения вредоносного модуля маяка в памяти.

Угрожающий агент использовал несколько других инструментов для обнаружения в среде клиента. Во-первых, они использовали AdFind, инструмент, предназначенный для получения и отображения информации из среды Active Directory (AD). В руках агента угрозы AdFind может быть использован для перечисления учетных записей пользователей, повышения привилегий и даже для извлечения хэша пароля.

В данном случае угроза использовала его для получения информации об операционной системе с помощью команды adfind.exe -f objectcategory=computer -csv name cn OperatingSystem dNSHostName. Команда указывает, что она хочет получить значения атрибутов name, common name (CN), operating system и dNSHostName для каждого компьютерного объекта и вывести результат в формате CSV.

Агент угрозы использовал следующую команду PowerShell для сбора информации о пользователе и сохранения ее в CSV-файл:

Get-ADUser -Filter * -Properties * | Select -Property EmailAddress,GivenName,Surname,DisplayName,sAMAccountName,Title,Department,OfficePhone,MobilePhone,Fax,Enabled,LastLogonDate | Export-CSV "C:\users\public\music\ADusers.csv" -NoTypeInformation -Encoding UTF8

Мы также заметили, что угрожающий агент использовал AccessChk64, инструмент командной строки, разработанный компанией Sysinternals, который в основном используется для проверки разрешений безопасности и прав доступа объектов в Windows. Хотя цель использования этого инструмента в данном случае неясна, следует отметить, что он может быть использован для получения информации о том, какие разрешения назначены пользователям и группам, а также для повышения привилегий и идентификации файлов, каталогов или служб со слабыми настройками контроля доступа.

Затем объект угрозы использовал findstr, инструмент командной строки в Windows, используемый для поиска строк или регулярных выражений в файлах с помощью команды findstr /S /I cpassword \\\<REDACTED>\sysvol\<REDACTED>\policies\*.xml.

Возможно, цель этой команды - определить все XML файлы, которые содержат строку cpassword. Это интересно с точки зрения безопасности, поскольку cpassword ассоциируется с устаревшим методом хранения паролей в привилегиях групповой политики в AD.

Trend Micro также наблюдали выполнение скриптов с помощью PowerShell. Например, команда IEX (New-Object Net.Webclient).DownloadString('hxxp://127[.]0[.]0[.]1:40347/'); Invoke-FindLocalAdminAccess -Thread 50" вызывает функцию PowerShell под названием Invoke-FindLocalAdminAccess и передает параметр -Thread со значением 50. Эта функция, вероятно, является частью сценария, выполняющего действия, связанные с поиском доступа локального администратора в системе.

Другим сценарием PowerShell, использованным субъектом угрозы, был PowerView. PowerView, который входит в коллекцию сценариев PowerSploit, используемых для помощи в тестировании на проникновение и операциях безопасности, фокусируется на разведке и перечислении AD и обычно используется субъектами угроз для сбора информации о среде AD.

Для извлечения ZIP-файлов использовалась команда PowerShell Expand-Archive.

powershell -w hidden -command Expand-Archive C:\users\public\videos\python.zip -DestinationPath C:\users\public\videos\python

WMI был использован для удаленного запуска CoBeacon в среде.

C:\WINDOWS\system32\cmd.exe /C wmic /NODE:"<REDACTED>" вызов процесса create C:\users\public\videos\python\pythonw.exe C:\users\public\videos\python\work2-2.py

Для получения высокопривилегированных учетных данных и эскалации привилегий угрожающий агент использовал сценарий Python, также содержащий модуль marshal, для выполнения псевдокомпилированного кода для LaZagne. В среде также был обнаружен еще один сценарий для получения учетных данных Veeam, следующий той же структуре.

PsExec, BitsAdmin и curl использовались для загрузки дополнительных инструментов и бокового перемещения по окружению.

Угрожающий агент сбросил подробный сценарий KillAV BAT (KillAV - это тип вредоносного ПО, специально разработанный для отключения или обхода антивирусных программ или программ защиты от вредоносного ПО, установленных на целевой системе), чтобы подделать защиту Trend. Однако благодаря функциям самозащиты агента и обнаружению VSAPI попытка не удалась. Угрожающие лица также пытались остановить Windows Defender с помощью другого сценария KillAV BAT.

Наконец, для поддержания постоянства угроза установила в среду инструмент удаленного управления AnyDesk (переименованный в install.exe).

Инструмент удаленного управления, установленный для поддержания постоянства

Indicators of Compromise

IPv4

104.234.11.226
104.234.11.236
141.98.6.56
157.254.195.108
157.254.195.83
166.0.95.43
167.88.164.141
167.88.164.91
193.42.32.143
45.12.253.50
45.12.253.51
45.66.230.215
45.81.39.175
45.81.39.176
84.54.50.116
85.217.144.233

Domains

aleagroupdevelopment.com
azurecloudup.online
cloudupdateservice.online
devnetapp.com
situotech.com

URLs

http://104.234.147.134/python/python.zip
http://104.234.147.134/python/unzip.bat
http://172.86.123.226/python/pp3.py
http://172.86.123.226/python/python.zip
http://172.86.123.226/python/unzip.bat
http://45.12.253.50:447/work2
http://45.66.230.240/python/pp
https://104.234.147.134/python/pp3.py
https://167.88.164.40/python/pp2
https://167.88.164.40/python/pp3.py
https://167.88.164.40/python/python.zip
https://167.88.164.40/python/unzip.bat
https://172.86.123.127:8443/work2
https://172.86.123.127:8443/work2z
https://172.86.123.226:8443/work3
https://172.86.123.226:8443/work3z
https://193.42.32.58/python/pp
https://193.42.32.58:8443/work2z
https://193.42.32.58:8443/zakrep
https://45.66.230.240/python/pp3.py
https://45.66.230.240/python/python.zip
https://45.66.230.240/python/unzip.bat
https://45.66.230.240:8443/work1
https://airplexacrepair.com/the-key-to-secure-remote-desktop-connections-a-comprehensive-guide/
https://anydeesk.net
https://closeyoueyes.com/python/python.zip
https://closeyoueyes.com/python/unzip.bat
https://cuororeresteadntno.com/how-to-work-with-ftp-ftps-connection-through-winscp/
https://events.drdivyaclinic.com/wp-content/task/update/WinSCP-5.21.8-Setup.iso
https://firstclassbale.com/python/pp3.py
https://firstclassbale.com/python/python.zip
https://firstclassbale.com/python/unzip.bat
https://maker-events.com/automating-file-transfers-with-winscp/
https://mm.onemakan.ml//wp/wp-content/winscp/smart/WinSCP-5.21.8-Setup.iso
https://winsccp.com/WLPuVHrN
https://www.4shared.com/web/directDownload/wd0Bbaw6jq/gx1qdBDA.ab8ba6f7d1af2d0a5d81cf42aefe8e51
https://www.yb-lawyers.com/wp-content/ter/anyconnect/AnyDesk.iso

SHA1

014c277113c4b8c4605cb91b29302cdedbc2044e
01b122eb0edb6274b3743458e375e34126fd2f9a
0362c710e4813020147f5520a780a15ef276e229
03d7bc24d828abaf1a237b3f418517fada8ae64f
0437f84967de62d8959b89d28a56e40247b595d8
06e3f86369046856b56d47f45ea2f7cf8e240ac5
08f63693bb40504b71fe3e4e4d9e7142c011aeb1
0cc0e1cbf4923d2ce7179064c244fe138dcb3ce8
0fe306dc12ba6441ba2a5cab1b9d26638c292f9c
105d33c00847ccd0fb230f4a7457e8ab6fb035fc
12534212c7d4b3e4262edc9dc2a82c98c2121d04
141c7b9be4445c1aad70ec35ae3fe02f5f8d37ac
152400be759355ec8dd622ec182c29ce316eabb1
1aff9fd8fdc0eae3c09a3ee6b4df2cdb24306498
1ca4e3fdcdf8a9ab095cfa0629750868eb955eb7
2547d2deedc385f7557d5301c19413e1cbf58cf8
27e9e6a54d73dcb28b5c7dfb4e2e05aaba913995
2a85cdfb1c3434d73ece7fe60d6d2d5c9b7667dd
2f2eb89d3e6726c6c62d6153e2db1390b7ae7d01
31d4dadd11fe52024b1787a20b56700e7fd257f8
337ca5eefe18025c6028d617ee76263279650484
36b454592fc2b8556c2cb983c41af4d2d8398ea2
3789a218c966f175067242975e1cb44abdef81ec
379e497d0574fd4e612339440b603f380093655c
381058a5075ce06605350172e72c362786e8c5e3
3b14559a6e33fce120a905fde57ba6ed268a51f1
3d4051c65d1b5614af737cb72290ec15b71b75bd
42920e4d15428d4e7a8f52ae703231bdf0aec241
42da9e9e3152c1d995d8132674368da4be78bf6a
4829eaa38bd061773ceefe175938a2c0d75a75f3
508e7522db24cca4913aeed8218975c539d3b0a4
5263a135f09185aa44f6b73d2f8160f56779706d
5831b3a830690c603fd093329dce93b9a7e83ad3
5c6aa1a5bd7572ac8e91eaa5c9d6096f302f775b
5cbb6978c9d01c8a6ea65caccb451bf052ed2acd
5e36a649c82fa41a600d51fe99f4aa8911b87828
5ec6b30dacfced696c0145a373404e63763c2fa8
5ed1b9810ee12d2b9b358dd09c6822588bbb4a83
5f455dcdca66df9041899708289950519971bb76
61e41be7a9889472f648a5a3d0b0ab69e2e056c5
69ffad6be67724b1c7e8f65e8816533a96667a36
72603dadebc12de4daf2e12d28059c4a3dcf60d0
75d02e81cc326e6a0773bc11ffa6fa2f6fa5343e
75e9d507b1a1606a3647fe182c4ed3a153cecc2c
7874d722a6dbaef9e5f9622d495f74957da358da
7b3051f8d09d53e7c5bc901262f5822f1999caae
7d500a2cd8ea7e455ae1799cb4142bb2abac3ae1
801950ed376642e537466795f92b04e13a4fcc2a
83c5f8821f9a07e0318beaa4bcf0b7ef21127aa8
913414069259e760e201d0520ce35fe22cf3c285
92673b91d2c86309f321ade6a86f0c9e632346d8
930bd974a2d01393636fdb91ca9ac53256ff6690
946c0a0c613c8ac959d94bb2fd152c138fc752da
9480a79b0b6f164b1148c56f43f3d505ee0b7ef3
974c1684cf0f3a46af12ba61836e4c161fd48cb5
9b1ebbe03949e0c16338595b1772befe276cd10d
9d85cb2c6f1fccc83217837a63600b673da1991a
a0f1a8462cb9105660af2d4240e37a27b5a9afad
a116ef48119c542a2d864f41dbbb66e18d5cd4e6
a5c164b734a8b61d8af70257e23d16843a4c72e3
a7b1853348346d5d56f4c33f313693a18b6af457
a9310c3f039c4e2184848f0eb8e65672f9f11240
a9a03d39705bd1d31563d7a513a170c99f724923
aae1b17891ec215a0e238f881be862b4f598e46c
ab0eade9b8d24b09e32aa85f78a51b777861debc
ac8e3146f41845a56584ce5e8e172a56d59aa804
ad981cd18f58e12db7c9da661181f6eb9a1754f3
aee0b252334b47a6e382ce2e01de9191de2e6a7a
b0d61d1eba9ebf6b7eabcd62b70936d1a343178e
b34bb1395199c7b168d9204833fdfd13d542706d
b35be51d727d8b6f8132850f0d044b838fec001d
b4f59fe2ee3435b9292954d1c3ef7e74c233abea
b98bb7b4c3b823527790cb62e26d14d34d3e499b
bc09ee8b42ac3f6107ab5b51a2581a9161e53925
bc0fb6b220045f54d34331345d1302f9a00b3580
c133992ea87f83366e4af5401a341365190df4e7
c14bd9ad77d8beca07fb17dc34f8a5f636e621b5
c1516915431cb55703b5a88d94ef6de0ac67190a
c7568d00ae38b3a4691a413ed439a0e3fb5664b1
c779a4a98925bc2f7feac91c1867a3f955462fc2
c82b28daeb33d94ae3cafbc52dbb801c4a5b8cfa
c9cdfdc45b04cca45b64fedca7c372f73b42cab2
cb358aa4ed50db8270f3ee7ea5848b8c16fa21fe
cd485054625ea8ec5cf1fe0e1f11ede2e23dde00
cfbde85bdb62054b5b9eb4438c3837b9f1a69f61
d125c4f82e0bbf369caf1be524250674a603435c
d2663fc6966c197073c7315264602b4c6ba9c192
d883be0ee79dec26ef8c04e0e2857a516cff050c
de7fb8efa05ddf5f21a65e940717626b1c3d6cb4
e5d434dfa2634041cdbdac1dec58fcd49d629513
e5db80c01562808ef2ec1c4b8f3f033ac0ed758d
e862f106ed8e737549ed2daa95e5b8d53ed50f87
eeff22b4a442293bf0f5ef05154e8d4c7a603005
f2f5137c28416f76f9f4b131f85252f8273baee8
f42e97901a1a3b87b4f326cb9e6cbdb98652d900
fb2ef2305511035e1742f689fce928c424aa8b7d
fd84cf245f7a60c38ac7c92e36458c5ea4680809

SHA256

13090722ba985bafcccfb83795ee19fd4ab9490af1368f0e7ea5565315c067fe
21e7bcc03c607e69740a99d0e9ae8223486c73af50f4c399c8d30cce4d41e839
25467df66778077cc387f4004f25aa20b1f9caec2e73b9928ec4fe57b6a2f63c
3ce4ed3c7bd97b84045bdcfc84d3772b4c3a29392a9a2eee9cc17d8a5e5403ce
4a4d20d107ee8e23ce1ebe387854a4bfe766fc99f359ed18b71d3e01cb158f4a
8859a09fdc94d7048289d2481ede4c98dc342c0a0629cbcef2b91af32d52acb5
bacbe893b668a63490d2ad045a69b66c96dcacb500803c68a9de6cca944affef
c7a5a4fb4f680974f3334f14e0349522502b9d5018ec9be42beec5fa8c1597fe