Exmatter IOCs

security IOC

Разработка специального инструмента позволяет предположить, что злоумышленники пытаются увеличить скорость своих атак.

По крайней мере, один из филиалов BlackMatter ransomware начал использовать в своих атаках специальный инструмент для эксфильтрации данных. Exmatter, обнаруженный командой Threat Hunter Team компании Symantec, предназначен для кражи определенных типов файлов из ряда выбранных каталогов и загрузки их на контролируемый злоумышленниками сервер перед развертыванием самой программы-выкупа в сети жертвы.

Это уже третий случай разработки операторами ransomware специального инструмента эксфильтрации данных, после того как ранее был обнаружен инструмент Ryuk Stealer и StealBit, связанный с операцией LockBit ransomware.

Exmatter в действии

Exmatter скомпилирован как исполняемый файл .NET и обфусцирован. При запуске он проверяет аргументы командной строки на наличие следующих строк: "nownd" и "-nownd". Если одна из них найдена, он пытается скрыть собственное окно, вызывая API "ShowWindow" следующим образом:

Чтобы определить файлы для эксфильтрации, программа получит имена всех логических дисков на зараженном компьютере и соберет все имена путей к файлам, игнорируя все, что находится в следующих каталогах:

  • C:\Documents and Settings
  • C:\PerfLogs
  • C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration
  • C:\Program Files\WindowsApps
  • C:\ProgramData\Application Data
  • C:\ProgramData\Desktop
  • C:\ProgramData\Documents
  • C:\ProgramData\Microsoft
  • C:\ProgramData\Packages
  • C:\ProgramData\Start Menu
  • C:\ProgramData\Templates
  • C:\ProgramData\WindowsHolographicDevices
  • C:\Recovery
  • C:\System Volume Information
  • C:\Users\Все пользователи
  • C:\Users\Default
  • C:\Users\Public\Documents
  • C:\Windows

Также будут исключены файлы размером менее 1024 байт и файлы со следующими атрибутами:

  • FileAttributes.System
  • FileAttributes.Temporary
  • FileAttributes.Directory

Он будет эксфильтрировать только файлы со следующими расширениями:

  • .doc
  • .docx
  • .xls
  • .xlsx
  • .pdf
  • .msg
  • .png
  • .ppt
  • .pptx
  • .sda
  • .sdm
  • .sdw
  • .csv

Он пытается определить приоритетность файлов для эксфильтрации с помощью LastWriteTime.

Файлы, соответствующие критериям, загружаются на удаленный SFTP-сервер с использованием следующих параметров:

Хост: 165.22.84.147
Порт: 22

Exmatter также включает конфигурацию SOCKS5, но она не используется:

Хост: 10.26.16.181
Порт: 1080

Когда Exmatter завершает эксфильтрацию данных, он запускает следующий процесс, чтобы удалить все следы своей деятельности:

Имя файла: "powershell.exe".
Аргументы:

Это попытается перезаписать начальный фрагмент файла перед его удалением.

Новые варианты

Было обнаружено несколько вариантов Exmatter, что позволяет предположить, что злоумышленники продолжают совершенствовать инструмент, чтобы ускорить эксфильтрацию достаточного объема дорогостоящих данных за максимально короткое время.

Во втором варианте в списке исключений каталог "C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration" был заменен на "C:\Program Files\Windows Defender Advanced Threat Protection". Типы файлов ".xlsm" и ".zip" были добавлены в список включения.

В третьей версии заметки добавлен клиент WebDav. Структура кода указывает на то, что SFTP остается основным протоколом, а WebDav выступает в качестве резервного. Клиент WebDav использует следующий URL:

https://157.230.28.192/data/

В список включения также были добавлены следующие типы файлов:

  • .json
  • .config
  • .ts
  • .cs
  • .js
  • .aspx
  • .pst

Кроме того, Exmatter настроен на пропуск эксфильтрации для файлов, имена которых содержат любую из следующих строк:

  • OneDriveMedTile
  • locale-
  • SmallLogo
  • VisualElements
  • adobe_sign
  • Adobe Sign
  • core_icons

Четвертый вариант содержал обновленные данные о SFTP-сервере:

Хост: 159.89.128.13
Порт: 22

Клиент WebDav использовал следующий обновленный URL:

https://159.89.128.13/data/

Наконец, список файлов для включения был обновлен путем удаления ".png".

Операторы вымогательского ПО-ветераны

BlackMatter связан с киберпреступной группой Coreid, которая ранее была ответственна за Darkside ransomware. В течение последних 12 месяцев она была одним из самых плодовитых операторов целевого ransomware, а ее инструменты использовались в ряде масштабных атак, в частности, в атаке Darkside на Colonial Pipeline в мае 2021 года, которая нарушила поставки топлива на Восточное побережье США.

Coreid работает по модели RaaS, сотрудничая с филиалами для проведения атак с использованием выкупа, а затем получая часть прибыли. Как и большинство других атак, связанных с вымогательством, атаки, связанные с Coreid, крадут данные жертв, после чего группа угрожает опубликовать их, чтобы оказать дальнейшее давление на жертв и заставить их заплатить выкуп. Является ли Exmatter творением самой Coreid или одного из ее филиалов, пока неизвестно, но его разработка позволяет предположить, что кража данных и вымогательство по-прежнему являются основными направлениями деятельности группы.

Indicators of Compromise

IPv4

  • 157.230.28.192
  • 159.89.128.13
  • 165.22.84.147

SHA256

  • 325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1
  • 5e355f90b398cbb54829038c6e5d68e8c578405d142bdcc2386cf6161c8d7014
  • 8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef
  • b6bc126526e27c98a94aab16989864161db1b3a75f18bd5c72bacbdfccad7bd7
  • fcaed9faa026a26d00731068e956be39235487f63e0555b71019d16a59ea7e6b
SEC-1275-1
Добавить комментарий