В рамках этой кампании злоумышленники рассылали фишинговые письма от имени федерального агентства, чтобы обманом заставить пользователей открыть вредоносные вложения. Письма содержали легитимный документ, чтобы пользователи чувствовали себя более непринужденно, и соблазняли их открыть защищенный паролем архив.
White Snake
Внутри архива находилось несколько файлов, включая файл без содержимого с именем «Пароль 120917.txt», легитимный документ для отвлечения внимания под названием «Права и обязанности и порядок применения статей 164, 170, 183 Уголовно-процессуального кодекса Российской Федерации.rtf» и исполняемый файл с вредоносной полезной нагрузкой под названием «Матералы для запроса, обязательного ознакомления и предоставления информации-.exe».
Вредоносная полезная нагрузка представляла собой загрузчик Invalid Printer, который внедрялся в процесс explorer.exe после выполнения проверки на отсутствие виртуальной среды. Интересно, что вместо использования вызовов WinAPI загрузчик напрямую вызывал функции ядра, переходя на инструкцию syscall с необходимыми аргументами. Номер вызываемого syscall был 0x0036, что соответствует системному вызову NtQuerySystemInformation.
Во время выполнения загрузчик пытался открыть случайные несуществующие файлы и записать в них случайные данные, что не влияло на процесс, но могло помочь обнаружить вредоносную активность. Также он искал процесс explorer.exe и выделял в нем область памяти для выполнения расшифрованной вредоносной полезной нагрузки. Полезная нагрузка представляла собой код оболочки, полученный от утилиты Donut, позволяющей выполнять исполняемые файлы в памяти и использовать дополнительные возможности, такие как сжатие и шифрование.
Вредоносной полезной нагрузкой, выполняемой этим загрузчиком, был стиллер White Snake версии 1.6.1.9. Примечательно, что эта версия, выпущенная в марте 2024 года, не проверяет, находится ли жертва в России или СНГ, что говорит о том, что разработчики могли модифицировать виртуальный частный объект (VPO) и снять запрет на выполнение по регионам.
При запуске White Snake выполняет такие действия, как создание и проверка заданных мьютексов и проверка виртуальных сред путем получения модели и производителя устройства через WMI-запросы. Она также может переместить текущий исполняемый файл в указанную директорию и добавить задачу в планировщик, выполнив ее из нового места. Кроме того, White Snake может использовать сервис serveo[.]net, загружая OpenSSH из репозитория GitHub.
В целом эта кампания включала в себя фишинговые письма, многоступенчатый процесс заражения и использование стиллера White Snake с определенным функционалом и техниками уклонения. Цель злоумышленников заключалась в том, чтобы обманом заставить получателей открыть вредоносные вложения и в конечном итоге скомпрометировать их системы.
Indicators of Compromise
URLs
- http://104.248.208.221:80
- http://107.161.20.142:8080
- http://116.202.101.219:8080
- http://129.151.109.160:8080
- http://144.126.132.141:8080
- http://149.88.44.159:80
- http://154.26.128.6:80
- http://18.228.80.130:80
- http://185.119.118.59:8080
- http://185.217.98.121:80
- http://185.217.98.121:8080
- http://193.142.58.127:80
- http://206.189.109.146:80
- http://212.6.44.53:8080
- http://216.250.190.139:80
- http://23.224.102.6:8001
- http://23.248.176.37:180
- http://45.61.136.13:80
- http://45.61.136.52:80
- http://66.42.56.128:80
- https://13.231.21.109:443
- https://164.90.185.9:443
- https://18.178.28.151:443
- https://185.217.98.121:443
- https://192.99.196.191:443
- https://44.228.161.50:443
- https://64.227.21.98:443
SHA256
- 10330fcc378db73346501b2a26d2c749f51cacd962b54c62aa017dd9c1ed77c3
- 93948c7fb89059e1f63af04feef0a0834b65b18ffaf6610b419adbc0e271e23d
- cbabd91fb0c1c83867f71e8df19c131ac6fb3b3f3f74765bc24924cb9d51ad41