Разработка специального инструмента позволяет предположить, что злоумышленники пытаются увеличить скорость своих атак.
По крайней мере, один из филиалов BlackMatter ransomware начал использовать в своих атаках специальный инструмент для эксфильтрации данных. Exmatter, обнаруженный командой Threat Hunter Team компании Symantec, предназначен для кражи определенных типов файлов из ряда выбранных каталогов и загрузки их на контролируемый злоумышленниками сервер перед развертыванием самой программы-выкупа в сети жертвы.
Это уже третий случай разработки операторами ransomware специального инструмента эксфильтрации данных, после того как ранее был обнаружен инструмент Ryuk Stealer и StealBit, связанный с операцией LockBit ransomware.
Exmatter в действии
Exmatter скомпилирован как исполняемый файл .NET и обфусцирован. При запуске он проверяет аргументы командной строки на наличие следующих строк: "nownd" и "-nownd". Если одна из них найдена, он пытается скрыть собственное окно, вызывая API "ShowWindow" следующим образом:
1 | ShowWindow(Process.GetCurrentProcess().MainWindowHandle, 0); |
Чтобы определить файлы для эксфильтрации, программа получит имена всех логических дисков на зараженном компьютере и соберет все имена путей к файлам, игнорируя все, что находится в следующих каталогах:
- C:\Documents and Settings
- C:\PerfLogs
- C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration
- C:\Program Files\WindowsApps
- C:\ProgramData\Application Data
- C:\ProgramData\Desktop
- C:\ProgramData\Documents
- C:\ProgramData\Microsoft
- C:\ProgramData\Packages
- C:\ProgramData\Start Menu
- C:\ProgramData\Templates
- C:\ProgramData\WindowsHolographicDevices
- C:\Recovery
- C:\System Volume Information
- C:\Users\Все пользователи
- C:\Users\Default
- C:\Users\Public\Documents
- C:\Windows
Также будут исключены файлы размером менее 1024 байт и файлы со следующими атрибутами:
- FileAttributes.System
- FileAttributes.Temporary
- FileAttributes.Directory
Он будет эксфильтрировать только файлы со следующими расширениями:
- .doc
- .docx
- .xls
- .xlsx
- .msg
- .png
- .ppt
- .pptx
- .sda
- .sdm
- .sdw
- .csv
Он пытается определить приоритетность файлов для эксфильтрации с помощью LastWriteTime.
Файлы, соответствующие критериям, загружаются на удаленный SFTP-сервер с использованием следующих параметров:
Хост: 165.22.84.147
Порт: 22
Exmatter также включает конфигурацию SOCKS5, но она не используется:
Хост: 10.26.16.181
Порт: 1080
Когда Exmatter завершает эксфильтрацию данных, он запускает следующий процесс, чтобы удалить все следы своей деятельности:
Имя файла: "powershell.exe".
Аргументы:
1 | -WindowStyle Hidden -C $path = '[FILEPATH_OF_THE_EXECUTING_SAMPLE]';Get-Process | Where-Object {$_.Path -like $path} | Stop-Process -Force;[byte[]]$arr = new-object byte[] 65536;Set-Content -Path $path -Value $arr;Remove-Item -Path $path; |
Это попытается перезаписать начальный фрагмент файла перед его удалением.
Новые варианты
Было обнаружено несколько вариантов Exmatter, что позволяет предположить, что злоумышленники продолжают совершенствовать инструмент, чтобы ускорить эксфильтрацию достаточного объема дорогостоящих данных за максимально короткое время.
Во втором варианте в списке исключений каталог "C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration" был заменен на "C:\Program Files\Windows Defender Advanced Threat Protection". Типы файлов ".xlsm" и ".zip" были добавлены в список включения.
В третьей версии заметки добавлен клиент WebDav. Структура кода указывает на то, что SFTP остается основным протоколом, а WebDav выступает в качестве резервного. Клиент WebDav использует следующий URL:
https://157.230.28.192/data/
В список включения также были добавлены следующие типы файлов:
- .json
- .config
- .ts
- .cs
- .js
- .aspx
- .pst
Кроме того, Exmatter настроен на пропуск эксфильтрации для файлов, имена которых содержат любую из следующих строк:
- OneDriveMedTile
- locale-
- SmallLogo
- VisualElements
- adobe_sign
- Adobe Sign
- core_icons
Четвертый вариант содержал обновленные данные о SFTP-сервере:
Хост: 159.89.128.13
Порт: 22
Клиент WebDav использовал следующий обновленный URL:
https://159.89.128.13/data/
Наконец, список файлов для включения был обновлен путем удаления ".png".
Операторы вымогательского ПО-ветераны
BlackMatter связан с киберпреступной группой Coreid, которая ранее была ответственна за Darkside ransomware. В течение последних 12 месяцев она была одним из самых плодовитых операторов целевого ransomware, а ее инструменты использовались в ряде масштабных атак, в частности, в атаке Darkside на Colonial Pipeline в мае 2021 года, которая нарушила поставки топлива на Восточное побережье США.
Coreid работает по модели RaaS, сотрудничая с филиалами для проведения атак с использованием выкупа, а затем получая часть прибыли. Как и большинство других атак, связанных с вымогательством, атаки, связанные с Coreid, крадут данные жертв, после чего группа угрожает опубликовать их, чтобы оказать дальнейшее давление на жертв и заставить их заплатить выкуп. Является ли Exmatter творением самой Coreid или одного из ее филиалов, пока неизвестно, но его разработка позволяет предположить, что кража данных и вымогательство по-прежнему являются основными направлениями деятельности группы.
Indicators of Compromise
IPv4
- 157.230.28.192
- 159.89.128.13
- 165.22.84.147
SHA256
- 325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1
- 5e355f90b398cbb54829038c6e5d68e8c578405d142bdcc2386cf6161c8d7014
- 8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef
- b6bc126526e27c98a94aab16989864161db1b3a75f18bd5c72bacbdfccad7bd7
- fcaed9faa026a26d00731068e956be39235487f63e0555b71019d16a59ea7e6b