CERT-UA в марте 2023 года получена информация об обнаружении признаков несанкционированного доступа к информационно-коммуникационной системе (ИКС) одного из коммунальных предприятий.
DarkCrystal RAT
Выяснено, что первичная компрометация ЭВМ произошла 19.01.2023 в результате установки нелицензионной версии программного продукта Microsoft Office 2019, BitTorrent-файл для загрузки которого ("Microsoft.Office-x64.v2019.x.iso.torrent", MD5: f2b0c6b3e7794d3f3d3b2bba5709c672, дата создания: 2022-09-13 08:48:58) было получено с трекера "Торрент-Толока" (hxxps://toloka[.]to/t661196).
Наряду с (нелицензионным) программным продуктом Microsoft Office 2019 в ISO-образе "Microsoft.Office-x64.v2019.x. iso" (MD5: 0b1e980d569829c5748fb9acf6cfde00, SHA1: a398a3370c662ffbd0940a4a53197ebefc702cad, SHA256: b8b5fadf15b0e36575513bbb2cb255f604d4caad54dbddd473eadf8110602e854) содержался файл "AUTORUN. exe" (MD5: 29a1b4b547c6edb8383c2f865fbb71e52, дата создания: 2022-09-09 11:54:08), запуск которого обеспечит дешифрование (XOR), декодирование (base64), создание на ЭВМ в каталоге %TMP% (всего 441 вариант названия файла) и запуск (API-функция: "CreateProcessA") исполняемого файла, а также запуск файла "\Office\AUTORUN. exe" (MD5: 83330eb9fc3b1bd8be730ac4a2aba352, дата создания: 2019-10-12 16:09:13; путь указан относительно точки монтирования), инициирующий процесс установки Microsoft Office 2019 (вариант KMSAuto).
Создаваемый исполняемый файл является вредоносной программой DarkCrystal RAT (MD5: c97ade9038d492393113e5d8c2c63b75, дата создания: 2022-07-24 15:13:08). Процесс запуска DarkCrystal RAT, среди прочего, сопровождается созданием собственной копии (от 2 до 20 раз) по произвольно сформированному пути, в котором название файла выбирается произвольно из списка запущенных процессов, а также добавлением соответствующих ключей в ветке "Run" реестра Windows и созданием с помощью WMI запланированных задач.
На следующие сутки (20.01.2023) с помощью DarkCrystal RAT на ЭВМ был загружен Python-интерпретатор (Python 2.7.18) "C:\ProgramData\Windows Events. exe" (MD5: 9767f3103c55c66cc2c9eb39d56db594), исходный код средства удаленного администрирования DWAgent (hxxps://github[. ]com/dwservice/agent) и файл "C:\ProgramData\service\core\Windows Update.exe" (MD5: 69bbbbd899e76b29a0250d8b73326b624, дата создания: 2022-10-12 16:44:44). Согласно вердикту Microsoft Defender - "Trojan:Win32/PinkyAgent.A!dha" - файл "Windows Update.exe" классифицирован как "PinkyAgent", назначением которого является запуск с помощью Python-интерпретатора скрипта "C:\ProgramData\service\core\agent. py" (MD5: c83aebdbb21a3c7e155b4040e675b9a8), что, в свою очередь, осуществит запуск DWAgent (персистентность обеспечивается с помощью службы "Windows Update"). Исходный код "C:\ProgramData\service\service\core\agent.py" является частично модифицированной версией оригинального файла "hxxps://github[.]com/dwservice/agent/blob/master/core/agent.py".
Таким образом, в результате использования нелицензионной версии программного продукта Microsoft Office 2019 на ЭВМ была установлена вредоносная программа DarkCrystal RAT и средство удаленного администрирования DWAgent, что создало предпосылки для несанкционированного доступа к организации в период с 19.01.2023 по 22.03.2023.
Indicators of Compromise
IPv4
- 95.217.99.28
URLs
- http://95.217.99.28/Image_bigloadtrackuploads.php
- http://bt.hurtom.com/announce/?h=842tFzFUWo&
- http://bt.toloka.to/announce/?h=842tFzFUWo&
- http://bt.toloka.tv/announce/?h=842tFzFUWo&
- https://toloka.to/p1893256
- https://toloka.to/t661196
- https://www.dwservice.net/getagentfile.dw?name=files.xml
MD5
- 0b1e980d569829c5748fb9acf6cfde00
- 29a1b4b547c6edb8383c2f865fb71e52
- 69bbbd899e76b29a0250d8b73326b624
- 83330eb9fc3b1bd8be730ac4a2aba352
- c83aebdbb21a3c7e155b4040e675b9a8
- c97ade9038d492393113e5d8c2c63b75
- f2b0c6b3e7794d3f3d3b2bba5709c672
SHA256
- 36a16af682c2c6d6bc575d3442472e483ada21424bf9be1c72c2e7e27651d73f
- 3de1ddc434c1c92fd4f5df8afc7bc5d746f093c3a2f6a58c975b53b24c2f5ca7
- 40d0ecca47f4ed2265f84b540b7a4fd2b1ce337c910846d56d698e072d7ead6e
- 41de9ed75aeac48f5c1ca94e5ed64a27227286c93a8df541f35d729f1ec87418
- 64def4f01bee099c0a95c240d00c1987b2309fd6513830322ae16874c7728714
- 8b19ab5cbee135e49a527a8bbfa8eedc2958a9625ffccf8d5f716696a9c18e5d
- b8b5fadf15b0e36575513bb2cb255f604d4caad54dbddd473eadf8110602e854