Exmatter IOCs

Разработка специального инструмента позволяет предположить, что злоумышленники пытаются увеличить скорость своих атак.

Содержание

По крайней мере, один из филиалов BlackMatter ransomware начал использовать в своих атаках специальный инструмент для эксфильтрации данных. Exmatter, обнаруженный командой Threat Hunter Team компании Symantec, предназначен для кражи определенных типов файлов из ряда выбранных каталогов и загрузки их на контролируемый злоумышленниками сервер перед развертыванием самой программы-выкупа в сети жертвы.

Это уже третий случай разработки операторами ransomware специального инструмента эксфильтрации данных, после того как ранее был обнаружен инструмент Ryuk Stealer и StealBit, связанный с операцией LockBit ransomware.

Exmatter в действии

Exmatter скомпилирован как исполняемый файл .NET и обфусцирован. При запуске он проверяет аргументы командной строки на наличие следующих строк: "nownd" и "-nownd". Если одна из них найдена, он пытается скрыть собственное окно, вызывая API "ShowWindow" следующим образом:

ShowWindow(Process.GetCurrentProcess().MainWindowHandle, 0);

Чтобы определить файлы для эксфильтрации, программа получит имена всех логических дисков на зараженном компьютере и соберет все имена путей к файлам, игнорируя все, что находится в следующих каталогах:

C:\Documents and Settings
C:\PerfLogs
C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration
C:\Program Files\WindowsApps
C:\ProgramData\Application Data
C:\ProgramData\Desktop
C:\ProgramData\Documents
C:\ProgramData\Microsoft
C:\ProgramData\Packages
C:\ProgramData\Start Menu
C:\ProgramData\Templates
C:\ProgramData\WindowsHolographicDevices
C:\Recovery
C:\System Volume Information
C:\Users\Все пользователи
C:\Users\Default
C:\Users\Public\Documents
C:\Windows

Также будут исключены файлы размером менее 1024 байт и файлы со следующими атрибутами:

FileAttributes.System
FileAttributes.Temporary
FileAttributes.Directory

Он будет эксфильтрировать только файлы со следующими расширениями:

.doc
.docx
.xls
.xlsx
.pdf
.msg
.png
.ppt
.pptx
.sda
.sdm
.sdw
.csv

Он пытается определить приоритетность файлов для эксфильтрации с помощью LastWriteTime.

Файлы, соответствующие критериям, загружаются на удаленный SFTP-сервер с использованием следующих параметров:

Хост: 165.22.84.147
Порт: 22

Exmatter также включает конфигурацию SOCKS5, но она не используется:

Хост: 10.26.16.181
Порт: 1080

Когда Exmatter завершает эксфильтрацию данных, он запускает следующий процесс, чтобы удалить все следы своей деятельности:

Имя файла: "powershell.exe".
Аргументы:

-WindowStyle Hidden -C $path = '[FILEPATH_OF_THE_EXECUTING_SAMPLE]';Get-Process | Where-Object {$_.Path -like $path} | Stop-Process -Force;[byte[]]$arr = new-object byte[] 65536;Set-Content -Path $path -Value $arr;Remove-Item -Path $path;

Это попытается перезаписать начальный фрагмент файла перед его удалением.

Новые варианты

Было обнаружено несколько вариантов Exmatter, что позволяет предположить, что злоумышленники продолжают совершенствовать инструмент, чтобы ускорить эксфильтрацию достаточного объема дорогостоящих данных за максимально короткое время.

Во втором варианте в списке исключений каталог "C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration" был заменен на "C:\Program Files\Windows Defender Advanced Threat Protection". Типы файлов ".xlsm" и ".zip" были добавлены в список включения.

В третьей версии заметки добавлен клиент WebDav. Структура кода указывает на то, что SFTP остается основным протоколом, а WebDav выступает в качестве резервного. Клиент WebDav использует следующий URL:

https://157.230.28.192/data/

В список включения также были добавлены следующие типы файлов:

.json
.config
.ts
.cs
.js
.aspx
.pst

Кроме того, Exmatter настроен на пропуск эксфильтрации для файлов, имена которых содержат любую из следующих строк:

OneDriveMedTile
locale-
SmallLogo
VisualElements
adobe_sign
Adobe Sign
core_icons

Четвертый вариант содержал обновленные данные о SFTP-сервере:

Хост: 159.89.128.13
Порт: 22

Клиент WebDav использовал следующий обновленный URL:

https://159.89.128.13/data/

Наконец, список файлов для включения был обновлен путем удаления ".png".

Операторы вымогательского ПО-ветераны

BlackMatter связан с киберпреступной группой Coreid, которая ранее была ответственна за Darkside ransomware. В течение последних 12 месяцев она была одним из самых плодовитых операторов целевого ransomware, а ее инструменты использовались в ряде масштабных атак, в частности, в атаке Darkside на Colonial Pipeline в мае 2021 года, которая нарушила поставки топлива на Восточное побережье США.

Coreid работает по модели RaaS, сотрудничая с филиалами для проведения атак с использованием выкупа, а затем получая часть прибыли. Как и большинство других атак, связанных с вымогательством, атаки, связанные с Coreid, крадут данные жертв, после чего группа угрожает опубликовать их, чтобы оказать дальнейшее давление на жертв и заставить их заплатить выкуп. Является ли Exmatter творением самой Coreid или одного из ее филиалов, пока неизвестно, но его разработка позволяет предположить, что кража данных и вымогательство по-прежнему являются основными направлениями деятельности группы.

Indicators of Compromise

IPv4

157.230.28.192
159.89.128.13
165.22.84.147

SHA256

325ecd90ce19dd8d184ffe7dfb01b0dd02a77e9eabcb587f3738bcfbd3f832a1
5e355f90b398cbb54829038c6e5d68e8c578405d142bdcc2386cf6161c8d7014
8eded48c166f50be5ac33be4b010b09f911ffc155a3ab76821e4febd369d17ef
b6bc126526e27c98a94aab16989864161db1b3a75f18bd5c72bacbdfccad7bd7
fcaed9faa026a26d00731068e956be39235487f63e0555b71019d16a59ea7e6b