Недавняя активность Shuckworm, наблюдаемая компанией Symantec, подразделением Broadcom Software, и направленная на Украину, похоже, доставляет в целевые сети вредоносное ПО, похищающее информацию. Эта активность продолжалась еще 8 августа 2022 года, и большая часть активности, наблюдаемой в рамках этой кампании, соответствует активности, отмеченной CERT-UA 26 июля.
Shuckworm (он же Gamaredon, Armageddon) - связанная с Россией группировка, которая с момента своего появления в 2014 году почти полностью сосредоточила свои операции на Украине.
Armageddon APT IOCs
Вектор заражения
Первым подозрительным действием Symantec на системах жертв был самораспаковывающийся файл 7-Zip, который был загружен через браузер системы по умолчанию. Затем mshta.exe загрузил XML-файл, который, вероятно, маскировался под файл HTML-приложения (HTA).
Эти файлы были загружены со следующего домена: a0698649[.]xsph[.]ru. Начиная с мая 2022 года было публично задокументировано, что поддомены xsph[.]ru связаны с деятельностью червя Shuckworm, и этот домен снова упоминался в публикации CERT-UA от 26 июля об активности червя Shuckworm.
По данным CERT-UA, этот домен также был связан с электронным письмом, которое выдавало себя за письмо от Службы безопасности Украины и имело в теме письма "Intelligence Bulletin". В этом случае, скорее всего, файл 7-Zip, который был замечен в сетях жертв в ходе кампании, наблюдаемой Symantec, был доставлен жертвам по электронной почте.
Цепочка атак
За загрузкой XML-файла в сети жертв следовало выполнение программы PowerShell для кражи. Мы наблюдали три версии одного и того же PowerShell-крадуна на одной системе. Возможно, злоумышленники развернули несколько версий крадника, которые были очень похожи друг на друга, в попытке избежать обнаружения.
На компьютерах жертв также были замечены два VBS-загрузчика, в названиях файлов которых присутствовали слова "juice" и "justice". Анализ показал, что это Backdoor.Pterodo, известный инструмент Shuckworm, о котором Symantec писала в блоге в начале этого года. Эти скрипты способны вызывать PowerShell, загружать скриншоты, а также выполнять код, загруженный с командно-контрольного (C&C) сервера.
На компьютерах жертв также были замечены различные подозрительные файлы, содержащие в названии "ntuser". Мы связываем эти файлы "ntuser" с деятельностью Shuckworm, и многие их варианты являются вредоносными, причем большинство из них были обнаружены как бэкдор Giddome, еще один известный инструмент Shuckworm.
Мы видели различные родительские процессы с именами файлов с расширениями VCD, H264 и ASC. Файл с именем ntuser.dat.tmcontainer.vcd был родительским процессом для варианта бэкдора Giddome под названием ntuser.dat.tm.descendant.exe, который был замечен на машинах жертв. Подозрительный файл с именем ntuser.dat.tmcontainer.h264 имел дочерний процесс ntuser.dat.tm.declare.exe, еще один вредоносный бинарный файл бэкдора Giddome. В другом месте файл с именем ntuser.dat.tmcontainer.asc имел дочерний процесс ntuser.dat.tm.decay.exe.
Файлы VCD представляют собой образы дисков CD или DVD и распознаются Windows как реальный диск, аналогично файлам ISO, которые, как мы часто видим, используются злоумышленниками для доставки полезной нагрузки. ASC-файл - это зашифрованный файл, который может содержать текст или двоичную информацию, закодированную как текст, а файл H264 - это видеофайл. Однако имена файлов с префиксом ntuser.dat.tmcontainer - это файлы, представляющие реестр.
Неясно, являются ли они реальными типами файлов, или злоумышленники используют эти имена файлов для того, чтобы посеять путаницу.
Бэкдор, попавший в системы жертв, имел имя файла 4896.exe. Этот бэкдор обладал множеством возможностей, включая:
- записывать звук с помощью микрофона и загружать записанные файлы в удаленное место.
- делать скриншоты и загружать их
- регистрировать и загружать нажатия клавиш
- Загружать и исполнять файлы .exe или загружать и загружать файлы DLL.
Для удаленного доступа злоумышленники также использовали легитимные инструменты протокола удаленного рабочего стола (RDP) Ammyy Admin и AnyDesk. Легальные инструменты RDP, такие как эти и другие, часто используются злоумышленниками для удаленного доступа в кибератаках, связанных с выкупом и поддерживаемых государством.
Indicators of Compromise
IPv4
- 104.238.187.145
- 138.68.254.91
- 139.180.172.67
- 140.82.47.97
- 140.82.54.136
- 140.82.58.157
- 141.164.45.236
- 141.8.192.82
- 144.202.54.111
- 149.28.99.187
- 155.138.252.221
- 157.245.99.132
- 159.223.235.224
- 159.89.129.22
- 165.22.215.30
- 178.62.108.75
- 194.180.174.73
- 207.246.80.1
- 217.163.30.126
- 45.63.79.134
- 45.63.94.49
- 68.183.9.9
- 95.179.167.182
Domains
- *.pasamart.ru
- a0698649.xsph.ru
- destroy.asierdo.ru
- heato.ru
- leonardis.ru
- motoristo.ru
URLs
- http://155.138.252.221/get.php
- http://157.245.99.132/get.php
- http://159.223.235.224/crab/crevice.elg
- http://194.180.174.73/1.txt
- http://68.183.9.9/get.php
- http://a0698649.xsph.ru/preparations/band.xml
- http://destroy.asierdo.ru/
- http://heato.ru/index.php
- http://motoristo.ru/get.php
SHA256
- 02963acfa5622901de83cb75fad5bef35902d0ae42310d47f7433379dd3543e8
- 184b5ff96d90a46ad33ba82faa2bb298282e7c35afc0ab96f884f668ad098e61
- 1aceb88288dd40535fdddcbdc1aa174109fe897122d693280d6ccec827f4df0b
- 1f8a4cf57052e66d4de953fcda3aca627308f93b6560934959d745ca6dda66d9
- 20b1f6fec7a0f09c64e7e09de7952b7532f8c9cd4b45177d2125d84c6a40ec73
- 22ddb97a23a9010b445b08a807b22a997174f528e87604be0bba4e0ccfa18050
- 26fcfbbfe4deeae3797bc7999c641f7a93e5a7eb378cf998069d88060801c47d
- 2c7943730f3dfb89f534fcb137a4f6e53a7a697309e6cc247f0f9800f1460731
- 30761d0a9b08c69cfdd135c69a537aef0df516b097cd9d6a0d9528bc907f4ddd
- 3790ddd924b08942f3ecb6da5a32df090274b90829e651f984f287c00db04592
- 3dc83f72a830c54980738467fb36e7b6b5da80e0d9657bd440dcad46ae9f96a2
- 3f3667294731e3bdbf13d96d32a98342e225601f20157f774917d9147ce692a4
- 3fc80fcbf9e813d00af3f54714f79d7accd3888689ac6c5d02a750d804f4e5c3
- 420fccd78efe1e4739c3a694afada023e1ce425c29a0affa91bf02c16912d143
- 4b9023dbaadd588dad670c49e5a202ae695e12689618f926249d49a935c07315
- 597c517c81a53f7a32a67eb2b15e51a95b6bfdd4a33b11850b08eccf6e29d098
- 5f05ba566a66531b988c5a1dceee0b4a7bc2dc34ad2b68d984486e02891a4f6c
- 63490fc0828f9683f5dd5799452d684dcc32db28d683943b2bad5b56eee6f03e
- 6461d0693801d8d523df9d2d0cd5a652d72c10acec8fab7344bb141c459543e1
- 66d2b38589d08bbbe56b34b88bcefc702cdc6593c71e5ee446dbbb115336b876
- 71fdd0edf4699051f5506f34f2663938faeca9400dae1c034ddb6b710d41c7d7
- 8a5933f7248d1cf2dba19980efaf4f5d5b139563a22cec81df276661c0146450
- 8b1e48dfab33ed67f8ccd788904f2cd4be521ff152a477cec4baba52b56aec15
- 8cbae307b9efdb760cc97468ee7a363d5204559ab21e7982d63867cc13c6b098
- 92953773c3b405f341df8e68bd8a23cbc9b8fd6c708082aab91632d6cb84bac2
- 9da410a62fb552a593b6da8ee89aa451efb6efcd1f3a35fab24e3c04fec84030
- aa97a858124fb47ea2572a197bd762da9c19bac91bdd4c17469c2e48480e8088
- abb6aab63b29610dbc0a6d634b6777ff0a2a2b61c5f60bd09b0c3aa3919fa00d
- ac862717600c531846895f8884841d23e52c8332e708ca11c17a5c162ce43432
- b26e8d55828dc8143b68ef6140eab7e5e7e59e6b9e104e032b28f5058a127d51
- b66cc523b88505cc2cc0568e97c9a80b1ceae448c8ac7d7b0d9c0f36378d8c2f
- b783b82e846bd8a623ca32982585cf8b79ce7cbf9988a041f7b2ac7fe5f8a7fe
- b9c8ec91559a62baf87305e0ee387bb777da7830a6d9fc72c630e873858ec465
- c40aaaecb9331f1ddac9fe9b6d3455ecfd7b21b53159453f7fa3a82e3d5f9ecc
- d358e4b6afd14fd7b058e0deaeca0bf3537edc264ef7674c1c49db35b82b2d24
- d7d4077af0aff349821f0e964f42db5ab09eb8b2f427f266378aaa1d28af6c57
- e5f34a99d6799c4ff3a4b06e4f42ff136c1a0f59dd4629f3e4da3a7a93e7c88e
- ea4ba2c43bc3d18e5d01168ff4f864cbf727e3cb8b9cce5c3f75a27c91d63d84
- ef7eb27e19d11894b52148fbe8987b5726ef4390a56aa47a9a4bbe4b17dd0876
- efd099e4900b692a362cf29a12cd2a100a99b1dd29cfaac4b456808795c07b0f
- f151d2b404315afe4951cbd870866e8fbb11d05d3752ad096bf00d68072d2262
- f1c65464f2a86cb6ad6c6792c7553d4162849b5a229fcc396c737edffdb1ee80
- f895adfe7882bac956f31ec14fb52ea118138257d4a95fb9e1bb6f4e846d07b8