CERT-UA приняты меры по оказанию практической помощи государственному предприятию по факту массового поражения ЭВМ организации вредоносной программой DIRTYMOE (PURPLEFOX).
В рамках детального изучения киберугрозы проведено исследование полученных образцов вредоносных программ, установлены особенности функционирования инфраструктуры управляющих серверов и выявлено более 2000 пораженных ЭВМ в украинском сегменте сети Интернет.
Техническая информация
Вредоносное программное обеспечение
DIRTYMOE - модульная вредоносная программа известна более 5 лет. Создает технические возможности для удаленного доступа к компьютеру и, в основном, используется для проведения DDoS-атак и майнинга (но не исключительно). Обычно, первичное поражение осуществляется в результате запуска популярного программного обеспечения, содержащего MSI-инсталлятор. Бекдор оснащен руткитом, что не позволяет удалить компоненты из файловой системы и реестра операционной системы в штатном режиме.
DIRTYMOE имеет функционал для самораспространения путем подбора аутентификационных данных и/или эксплуатации ряда уязвимостей как в отношении компьютеров, находящихся в локальной вычислительной сети, так и ЭВМ по перечню IP-адресов, который формируется по отдельному алгоритму в зависимости от "внешнего" IP-адреса объекта поражения.
С целью обеспечения отказоустойчивости для коммуникации с управляющей инфраструктурой используется, по меньшей мере, три способа, один из которых заключается в получении значений A-записей для статически определенных доменных имен с использованием как локального так и внешних DNS-серверов: 8.8.8.8, 1.1.1.1, 114.114.114.114, 119.29.29.29. При этом, IP-адреса, хранящиеся в реестре операционной системы, а также те, что получаются в результате DNS-запросов - обфускованы.
За период мониторинга (20-31 января 2024 года) выявлено 486 IP-адресов промежуточных управляющих серверов, подавляющее большинство которых принадлежат (скомпрометированному) оборудованию, находящемуся в Китае. В течение суток добавляется около 20 новых IP-адресов.
Поиск признаков поражения
1. Исследовать сетевые соединения по перечню IP-адресов, приведенных в приложении. Обычно исходящие подключения осуществляются на "высокие" (10000+) сетевые порты.
2. С помощью штатной утилиты regedit.exe проверить значения в реестре операционной системы по ключам (Рис.1):
- для WindowsXP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9]
- для Windows7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
3. С использованием штатной утилиты Event Viewer в журнале "Application" (источник: "MsiInstaller") исследовать записи с идентификаторами событий 1040 и 1042 (Рис.3).
4. Визуально осмотреть каталог "C:\Program Files" на предмет наличия папок с произвольно сгенерированным названием, например: "C:\Program Files\dvhvA".
5. Постоянство запуска вредоносной программы обеспечивается путем создания сервиса. В свою очередь, файлы бэкдора и модулей хранятся в типичных каталогах (перечень ниже). Вместе с тем, применение руткита препятствует обнаружению и/или удалению вредоносной программы непосредственно с пораженной ЭВМ.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXXXApp
C:\Windows\System32\MsXXXXXXXXXXXXXXApp.dll
C:\Windows\AppPatch\DBXXXXXXXXXXXXMK.sdb
C:\Windows\AppPatch\RCXXXXXXXXXXMS.sdb
C:\Windows\AppPatch\TKXXXXXXXXXXMS.sdb
* XXXXXXXX - произвольно сгенерированная последовательность в диапазоне [A-F0-9]{8} (пример: "MsBA4B6B3AAAApp.dll")
Indicators of Compromise
IPv4
- 1.14.140.47
- 1.197.79.9
- 1.240.81.27
- 101.20.237.127
- 101.231.201.234
- 102.187.121.71
- 103.103.200.23
- 103.113.231.38
- 103.134.56.169
- 103.136.5.30
- 103.148.245.46
- 103.149.90.237
- 103.149.92.208
- 103.149.92.254
- 103.149.92.50
- 103.149.93.168
- 103.150.142.75
- 103.151.53.138
- 103.161.31.10
- 103.186.100.35
- 103.204.191.158
- 103.205.176.27
- 103.215.205.147
- 103.218.25.69
- 103.224.54.210
- 103.226.141.208
- 103.23.144.53
- 103.233.65.226
- 103.243.26.157
- 103.28.204.82
- 103.38.252.34
- 103.38.5.12
- 103.39.232.29
- 103.39.232.33
- 103.47.181.124
- 103.73.160.183
- 103.73.161.184
- 103.88.132.28
- 103.9.185.88
- 103.97.202.40
- 104.154.116.45
- 105.96.73.42
- 106.12.252.5
- 107.173.189.10
- 109.74.70.14
- 110.170.166.6
- 110.173.183.91
- 110.45.196.155
- 110.53.71.110
- 110.78.114.244
- 110.93.244.146
- 111.180.195.109
- 111.180.195.131
- 111.180.195.168
- 111.180.195.216
- 111.180.195.27
- 111.180.195.36
- 111.198.38.230
- 111.207.115.78
- 111.207.70.158
- 111.26.164.238
- 111.42.237.27
- 111.47.22.111
- 111.85.88.103
- 111.9.29.235
- 111.93.35.141
- 112.103.156.113
- 112.16.228.66
- 112.168.11.135
- 112.26.121.7
- 112.30.131.68
- 112.30.158.228
- 112.31.26.68
- 112.49.39.132
- 112.5.173.118
- 112.6.210.212
- 113.108.223.140
- 113.120.46.132
- 113.137.46.2
- 113.160.235.95
- 113.161.145.95
- 113.18.255.253
- 113.56.215.2
- 114.135.61.205
- 114.199.75.134
- 114.199.75.141
- 114.215.78.39
- 114.244.48.11
- 114.246.195.20
- 114.250.24.64
- 114.95.122.148
- 114.98.95.44
- 115.230.124.61
- 115.230.124.85
- 115.231.24.90
- 115.236.74.59
- 115.238.49.107
- 115.240.198.102
- 115.28.180.250
- 115.79.139.170
- 116.16.38.18
- 116.53.194.243
- 116.58.10.59
- 116.58.70.229
- 117.102.112.68
- 117.141.188.223
- 117.175.45.187
- 117.176.173.180
- 117.177.73.246
- 117.187.66.174
- 117.220.198.37
- 117.34.109.54
- 117.34.25.161
- 117.34.25.187
- 117.34.91.178
- 117.4.113.117
- 117.40.91.23
- 117.40.91.24
- 118.70.131.216
- 118.97.59.84
- 119.127.56.228
- 119.28.16.48
- 12.24.187.179
- 120.198.68.104
- 120.202.191.60
- 120.211.1.52
- 120.224.30.161
- 120.234.137.106
- 120.24.1.55
- 120.6.145.215
- 120.78.120.250
- 121.17.222.30
- 121.18.196.126
- 121.201.103.253
- 121.201.65.116
- 121.22.124.78
- 121.22.93.50
- 121.37.136.106
- 121.46.232.15
- 121.52.156.44
- 121.52.91.78
- 121.8.155.165
- 122.156.224.22
- 122.160.253.219
- 122.166.203.170
- 122.170.97.80
- 122.176.21.43
- 122.185.161.11
- 122.185.161.13
- 122.226.232.206
- 122.226.37.50
- 122.227.165.190
- 122.3.86.105
- 123.124.30.228
- 123.125.14.133
- 123.138.18.13
- 123.160.10.201
- 123.192.32.191
- 123.253.227.72
- 123.59.195.147
- 123.59.195.28
- 123.59.230.34
- 124.107.139.69
- 124.113.228.247
- 124.133.2.46
- 124.133.2.5
- 124.163.218.57
- 124.248.64.97
- 124.70.202.82
- 124.70.72.4
- 125.118.218.28
- 125.211.150.69
- 125.211.217.14
- 125.64.228.173
- 138.68.78.116
- 139.196.35.32
- 139.211.28.203
- 14.139.245.95
- 14.17.76.133
- 14.17.76.202
- 14.176.231.58
- 14.194.76.98
- 14.241.97.145
- 141.98.190.19
- 142.149.135.21
- 144.172.122.165
- 144.48.227.75
- 145.172.220.183
- 148.235.156.153
- 149.88.77.33
- 149.88.81.77
- 152.173.177.76
- 154.21.207.31
- 154.220.251.124
- 154.236.171.163
- 156.224.63.191
- 156.224.63.192
- 156.224.63.3
- 156.224.63.33
- 156.234.80.170
- 159.138.229.182
- 159.89.31.59
- 160.3.221.54
- 165.16.112.186
- 165.227.32.93
- 170.246.224.162
- 170.64.177.69
- 171.12.188.109
- 171.217.71.15
- 171.240.222.180
- 172.86.180.106
- 172.93.220.105
- 173.230.225.13
- 175.148.160.62
- 175.9.189.81
- 176.33.138.186
- 176.98.231.98
- 177.207.211.196
- 178.128.103.246
- 178.157.12.206
- 178.163.142.2
- 180.136.236.77
- 180.140.243.140
- 180.160.44.186
- 180.178.35.226
- 180.71.56.200
- 180.97.215.95
- 181.188.185.214
- 181.65.199.34
- 182.106.136.45
- 182.16.255.183
- 182.180.110.125
- 182.70.244.185
- 183.167.230.197
- 183.223.86.103
- 183.242.69.194
- 183.245.37.223
- 183.6.28.254
- 183.62.179.180
- 183.91.28.162
- 185.105.46.9
- 185.136.183.240
- 185.238.45.200
- 185.74.7.91
- 185.82.202.152
- 186.114.153.47
- 186.202.178.116
- 187.108.207.65
- 187.189.218.211
- 187.39.137.14
- 187.84.208.218
- 188.165.124.181
- 189.164.211.35
- 189.68.142.192
- 189.69.112.198
- 190.111.12.242
- 190.201.217.133
- 191.222.228.67
- 192.100.188.37
- 192.203.145.199
- 192.250.196.170
- 192.250.197.178
- 192.250.197.194
- 192.250.197.26
- 192.250.197.50
- 192.250.197.74
- 192.250.197.90
- 193.112.70.226
- 194.54.90.57
- 195.135.213.128
- 195.154.237.3
- 195.189.28.244
- 196.218.136.178
- 196.219.45.202
- 196.221.144.23
- 197.134.249.157
- 197.162.64.54
- 197.243.42.22
- 198.199.80.121
- 2.32.162.61
- 2.57.19.149
- 200.111.56.44
- 200.145.63.8
- 201.230.62.167
- 201.93.117.220
- 201.99.98.88
- 202.114.234.222
- 202.114.234.248
- 202.12.80.91
- 202.129.7.92
- 202.148.2.222
- 202.150.128.38
- 202.150.153.147
- 202.5.37.143
- 202.65.170.151
- 202.84.37.155
- 202.85.222.160
- 203.128.8.5
- 203.146.115.214
- 203.170.66.126
- 203.188.255.179
- 206.189.97.95
- 207.35.188.186
- 210.18.155.246
- 210.64.173.5
- 211.101.234.138
- 211.137.1.169
- 211.147.232.181
- 211.181.173.2
- 211.233.4.236
- 211.56.181.63
- 211.58.255.26
- 212.16.167.25
- 212.233.205.81
- 213.57.139.219
- 216.155.88.202
- 217.115.186.99
- 217.131.25.154
- 217.197.233.114
- 217.219.88.22
- 218.15.171.38
- 218.200.113.103
- 218.27.147.162
- 218.57.241.47
- 218.63.252.159
- 218.77.63.13
- 218.92.206.82
- 218.93.148.142
- 218.93.208.83
- 219.129.236.26
- 219.139.134.179
- 219.150.217.124
- 219.150.218.173
- 219.150.218.41
- 219.150.218.63
- 220.160.23.161
- 220.173.103.242
- 220.178.14.30
- 220.179.78.170
- 220.185.144.22
- 220.194.177.52
- 221.1.208.134
- 221.199.171.174
- 221.230.11.85
- 221.3.12.164
- 221.6.239.114
- 222.134.42.85
- 222.174.241.25
- 222.175.21.126
- 222.178.221.62
- 222.186.134.123
- 222.186.139.109
- 222.188.85.232
- 222.212.84.184
- 222.217.69.29
- 222.220.250.194
- 222.222.182.35
- 222.222.251.45
- 222.71.98.206
- 222.73.204.186
- 222.73.29.92
- 222.85.107.148
- 222.85.139.162
- 222.88.151.59
- 222.92.147.235
- 223.100.212.200
- 223.72.134.186
- 223.72.154.33
- 223.75.204.52
- 223.75.237.39
- 223.85.52.6
- 223.87.43.14
- 23.225.98.34
- 27.123.249.22
- 27.151.0.68
- 27.223.74.74
- 3.249.36.102
- 34.92.241.209
- 35.228.174.104
- 36.129.152.17
- 36.129.204.121
- 36.135.78.19
- 36.154.186.147
- 36.158.133.177
- 36.7.105.104
- 36.7.175.92
- 39.109.88.38
- 39.155.249.143
- 39.170.71.90
- 39.77.20.4
- 39.77.236.66
- 39.89.199.82
- 41.111.165.18
- 41.111.188.14
- 41.111.188.21
- 41.174.104.229
- 41.203.223.149
- 41.207.250.110
- 41.32.227.82
- 41.32.245.167
- 41.33.183.69
- 41.38.60.12
- 42.62.11.218
- 43.224.0.108
- 43.248.137.87
- 45.125.47.204
- 45.207.27.18
- 45.207.27.5
- 45.232.214.129
- 45.66.8.143
- 45.7.228.51
- 46.185.128.213
- 47.104.66.145
- 47.108.169.104
- 47.108.31.207
- 47.108.71.71
- 47.109.105.41
- 47.109.106.251
- 47.109.70.125
- 47.109.94.20
- 47.190.115.94
- 49.156.148.22
- 5.201.163.11
- 5.201.191.235
- 58.18.132.105
- 58.216.234.58
- 58.217.104.137
- 58.220.41.126
- 58.221.101.138
- 58.221.252.210
- 58.240.123.42
- 58.240.33.194
- 58.255.77.21
- 58.27.195.92
- 58.33.95.52
- 58.56.164.82
- 58.64.186.47
- 59.11.209.222
- 59.175.137.34
- 59.188.3.135
- 59.44.198.162
- 59.95.101.125
- 60.10.1.45
- 60.10.60.167
- 60.10.64.51
- 60.15.204.34
- 60.167.184.160
- 60.170.183.101
- 60.170.59.138
- 60.172.55.213
- 60.190.243.74
- 60.212.216.10
- 60.216.100.210
- 60.223.244.12
- 60.3.123.17
- 61.136.101.37
- 61.139.155.237
- 61.146.235.242
- 61.147.103.131
- 61.147.107.94
- 61.147.108.22
- 61.147.69.83
- 61.153.148.51
- 61.160.233.68
- 61.160.235.31
- 61.160.250.158
- 61.163.1.158
- 61.174.50.57
- 61.177.56.98
- 61.178.26.173
- 61.178.43.239
- 61.181.131.90
- 61.181.65.248
- 61.240.16.107
- 61.247.233.134
- 64.227.152.193
- 72.255.233.216
- 74.96.232.10
- 78.187.138.37
- 78.38.31.71
- 79.127.41.100
- 79.173.251.117
- 8.137.17.159
- 8.137.23.237
- 8.142.71.135
- 82.194.18.42
- 83.239.69.74
- 83.239.7.166
- 83.69.8.29
- 84.23.38.142
- 85.191.122.242
- 88.225.229.216
- 88.249.94.231
- 88.250.186.238
- 89.111.243.60
- 89.146.53.113
- 91.135.200.114
- 91.140.239.162
- 91.214.48.197
- 91.98.126.48
- 92.204.241.140
- 92.46.30.210
- 93.57.51.184
- 95.59.128.101
Domains
- kew.1qw.us
- kew.8df.us
- nk.1qw.us
- ret.6bc.us
- rpc.1qw.us
URLs
- http://103.39.232.29:18601/C558B828.Png
- http://103.73.161.184:17487/C558B828.Png
- http://103.97.202.40:11592/08388E25.Png
- http://110.45.196.155:14753/C558B828.Png
- http://112.26.121.7:19139/C558B828.Png
- http://113.161.145.95:19153/C558B828.Png
- http://114.244.48.11:19650/C558B828.Png
- http://118.97.59.84:18079/C558B828.Png
- http://121.201.103.253:18101/C558B828.Png
- http://121.22.124.78:17535/C558B828.Png
- http://123.192.32.191:18102/C558B828.Png
- http://138.68.78.116:11016/08388E25.Png
- http://138.68.78.116:11016/C558B828.Png
- http://144.172.122.165:15673/C558B828.Png
- http://149.88.77.33:19566/C558B828.Png
- http://159.89.31.59:16801/08388E25.Png
- http://160.3.221.54:15591/08388E25.Png
- http://160.3.221.54:15591/C558B828.Png
- http://170.246.224.162:15427/08388E25.Png
- http://170.246.224.162:15427/C558B828.Png
- http://172.93.220.105:20127/08388E25.Png
- http://172.93.220.105:20127/C558B828.Png
- http://173.230.225.13:11843/C558B828.Png
- http://178.128.103.246:17880/08388E25.Png
- http://178.128.103.246:17880/C558B828.Png
- http://187.189.218.211:16789/C558B828.Png
- http://187.39.137.14:12399/C558B828.Png
- http://187.84.208.218:17009/C558B828.Png
- http://190.111.12.242:17742/C558B828.Png
- http://192.250.197.178:16932/08388E25.Png
- http://195.154.237.3:20175/C558B828.Png
- http://195.189.28.244:17807/C558B828.Png
- http://201.230.62.167:15840/C558B828.Png
- http://212.233.205.81:17849/08388E25.Png
- http://212.233.205.81:17849/C558B828.Png
- http://219.150.217.124:11825/08388E25.Png
- http://219.150.217.124:11825/C558B828.Png
- http://220.194.177.52:14975/C558B828.Png
- http://221.199.171.174:16543/08388E25.Png
- http://221.199.171.174:16543/C558B828.Png
- http://221.230.11.85:18156/C558B828.Png
- http://222.186.134.123:11700/08388E25.Png
- http://222.92.147.235:17538/C558B828.Png
- http://36.7.175.92:18879/08388E25.Png
- http://36.7.175.92:18879/C558B828.Png
- http://41.33.183.69:19811/C558B828.Png
- http://60.223.244.12:11053/C558B828.Png
- http://61.146.235.242:17770/C558B828.Png
- http://61.160.233.68:19583/C558B828.Png
- http://64.227.152.193:18336/08388E25.Png
- http://64.227.152.193:18336/C558B828.Png
- http://74.96.232.10:19408/C558B828.Png
- http://8.137.17.159:15066/C558B828.Png
- http://85.191.122.242:17756/C558B828.Png
- http://89.111.243.60:17320/08388E25.Png
- http://91.135.200.114:10872/C558B828.Png
SHA256
- 29db0e21d078018f85bea7c0906a7894a4b78e74707f1cbac8f9f462eaecad23
- 3184ecf43310e2487be0073a6041d292dab1f176560edf2e8e60d594ad5d2ab2
- 31f50cb8ae6d41a410a39efd020ea0ed05add98df48c4257dfb8441bc6c57856
- 326bb4222a2f42d4f4ca455fbe97c7ae0784fb14538b0f5d4f5088acb981fbe9
- 395a3bd57246241f2c2b5efc427afbf5083facbde30b0199335f4102f73b8ae6
- 3eea47b22bc68089440a40b3f899665e3584c845d8c302872e1d93b62fa59fab
- 43eef76fa966395bde56b4e3812831ca75ad010e3b8216103358deb09bdc14d1
- 6d817e8cd54c3a21f6d4aa437b16663a2a40b726014a8de1cbf9343101a0ab62
- 6dc323456042048bdd0260c87e0deea082c855c53b6f948dbb5be27a3d721ded
- 937e0068356e42654c9ab76cc34cf74dfa4c17b29e9439ebaa15d587757b14b0
- aaba7db353eb9400e3471eaaa1cf0105f6d1fab0ce63f1a2665c8ba0e8963a05
- b3b5fff57040c801a4392da2af83f4bf6200c575aa4a64ab9a135b58aa516080
- c4c6f2c4452a540b2c69dc6164887d6014f6ab02d203bb56753c89863e840e46
- d627d4b6b8e15c4538776d8dcb03c4029b461144f921589655509b9f4aab4c65
- e8e529957fda9fc2c271d3fed6fe744bb62b3f5d3f47db0b6e45afdd7c9fd9fc
- ea4c2f895f7b1c46aa8de559e7a6d8201b49437332d6d5e859052276db50c6c4
- eb29edd6211836e6d1877a1658e648beb749091ce7d459dbd82dc57c84bc52b1
- f957af223174a135b23c48e40a4de50494737f3d6e10e193510446e27ebb7595