В конце 2023 года команда Solar 4RAYS обнаружила атаку на правительственное агентство с использованием шпионского имплантата под названием DFKRAT. Этот имплант позволяет злоумышленникам похищать данные из файловой системы жертвы. Дальнейшее исследование показало, что аналогичные образцы вредоносного ПО использовались той же группой злоумышленников против русскоязычных целей в период с 2021 по 2023 год. Кластер этой активности был обозначен как NGC2180. В статье приводится подробное описание найденных ВПО и предлагаются индикаторы компрометации.
NGC2180 APT
Основным вектором заражения ранних версий этого вредоносного ПО были целевые фишинговые письма, содержащие загрузчик. Однако для последних версий этот вектор остается неизвестным. Вредоносная активность осуществляется через полезную нагрузку, доставляемую загрузчиками в ранних версиях и дропперами, эксплуатирующими побочную загрузку DLL, в последних версиях. Ключевой функционал DFKRAT включает в себя эксфильтрацию файлов, поддержку интерактивных оболочек и потенциальную загрузку дополнительных ВПО с командно-контрольного (C2) сервера.
В качестве C2 для текущей версии имплантов использовались взломанные серверы Национального центра научных исследований в Греции и индонезийской компании. Команде Solar 4RAYS удалось найти и проанализировать фрагмент управляющего сервера. Образцы последней версии вредоносного ПО не были найдены в открытом доступе, но были обнаружены более ранние версии с менее продвинутыми реализациями.
В ходе расследования на системах жертв были обнаружены два разных образца DFKRAT, представляющие собой промежуточную стадию дропперов. Конечная стадия с полезной нагрузкой в обоих случаях оставалась одинаковой. Цепочка заражения включала три файла: легитимный исполняемый файл, вредоносную библиотеку для внедрения кода оболочки и бинарный файл, содержащий код оболочки и зашифрованную конечную полезную нагрузку.
В одном случае все файлы находились в каталоге C:\Program Files\CUAssistant\Download\. Цепочка запуска вредоносного компонента начинается с исполняемого файла ExportController.exe. Для выполнения вредоносного функционала злоумышленники используют технику боковой загрузки DLL. Библиотека CoreFoundation.dll используется для импорта и вызова символьных функций, которые затем вызывают функцию DllEntryPoint, где и находится вредоносный код.
Эти находки проливают свет на деятельность группы NGC2180 и дают представление о ее методах и приемах. Компания Solar 4RAYS рекомендует лицам, подозревающим, что они могли стать жертвами хакерских группировок, обратиться к своим экспертам для проведения расследования, выявления проблем и выработки рекомендаций по защите инфраструктуры от дальнейших атак.
Indicators of Compromise
IPv4
- 152.89.244.99
Domains
- windowscer.shop
URLs
- https://iam.ottodigital.id/emailotpauthenticationendpoint/css/css.jsp
- https://mail.inn.demokritos.gr/yui/2.7.0/fonts/foot.jsp
MD5
- 0aba8aa717171fdcc5f501eded8f685c
- 1da3ce8c4267bf982e43472a08fa2ca1
- 2e131ee69a4eee238a5353f34a81faed
- 7a90445dfb62f5d7b759b48c071b352c
- 8ce681f1c9ddf69a4ad4d53de57e404f
- 97cb6c20b98cac47fd2e68049c8ce3e1
- bb64fcb014d913b92975fccd5fa3e9b1
- e84bdb0848b48148507f53d6dc1eee08