DarkCrystal RAT IOCs - Part 6

remote access Trojan

CERT-UA в марте 2023 года получена информация об обнаружении признаков несанкционированного доступа к информационно-коммуникационной системе (ИКС) одного из коммунальных предприятий.

DarkCrystal RAT

Выяснено, что первичная компрометация ЭВМ произошла 19.01.2023 в результате установки нелицензионной версии программного продукта Microsoft Office 2019, BitTorrent-файл для загрузки которого ("Microsoft.Office-x64.v2019.x.iso.torrent", MD5: f2b0c6b3e7794d3f3d3b2bba5709c672, дата создания: 2022-09-13 08:48:58) было получено с трекера "Торрент-Толока" (hxxps://toloka[.]to/t661196).

Наряду с (нелицензионным) программным продуктом Microsoft Office 2019 в ISO-образе "Microsoft.Office-x64.v2019.x. iso" (MD5: 0b1e980d569829c5748fb9acf6cfde00, SHA1: a398a3370c662ffbd0940a4a53197ebefc702cad, SHA256: b8b5fadf15b0e36575513bbb2cb255f604d4caad54dbddd473eadf8110602e854) содержался файл "AUTORUN. exe" (MD5: 29a1b4b547c6edb8383c2f865fbb71e52, дата создания: 2022-09-09 11:54:08), запуск которого обеспечит дешифрование (XOR), декодирование (base64), создание на ЭВМ в каталоге %TMP% (всего 441 вариант названия файла) и запуск (API-функция: "CreateProcessA") исполняемого файла, а также запуск файла "\Office\AUTORUN. exe" (MD5: 83330eb9fc3b1bd8be730ac4a2aba352, дата создания: 2019-10-12 16:09:13; путь указан относительно точки монтирования), инициирующий процесс установки Microsoft Office 2019 (вариант KMSAuto).

Создаваемый исполняемый файл является вредоносной программой DarkCrystal RAT (MD5: c97ade9038d492393113e5d8c2c63b75, дата создания: 2022-07-24 15:13:08). Процесс запуска DarkCrystal RAT, среди прочего, сопровождается созданием собственной копии (от 2 до 20 раз) по произвольно сформированному пути, в котором название файла выбирается произвольно из списка запущенных процессов, а также добавлением соответствующих ключей в ветке "Run" реестра Windows и созданием с помощью WMI запланированных задач.

На следующие сутки (20.01.2023) с помощью DarkCrystal RAT на ЭВМ был загружен Python-интерпретатор (Python 2.7.18) "C:\ProgramData\Windows Events. exe" (MD5: 9767f3103c55c66cc2c9eb39d56db594), исходный код средства удаленного администрирования DWAgent (hxxps://github[. ]com/dwservice/agent) и файл "C:\ProgramData\service\core\Windows Update.exe" (MD5: 69bbbbd899e76b29a0250d8b73326b624, дата создания: 2022-10-12 16:44:44). Согласно вердикту Microsoft Defender - "Trojan:Win32/PinkyAgent.A!dha" - файл "Windows Update.exe" классифицирован как "PinkyAgent", назначением которого является запуск с помощью Python-интерпретатора скрипта "C:\ProgramData\service\core\agent. py" (MD5: c83aebdbb21a3c7e155b4040e675b9a8), что, в свою очередь, осуществит запуск DWAgent (персистентность обеспечивается с помощью службы "Windows Update"). Исходный код "C:\ProgramData\service\service\core\agent.py" является частично модифицированной версией оригинального файла "hxxps://github[.]com/dwservice/agent/blob/master/core/agent.py".

Таким образом, в результате использования нелицензионной версии программного продукта Microsoft Office 2019 на ЭВМ была установлена вредоносная программа DarkCrystal RAT и средство удаленного администрирования DWAgent, что создало предпосылки для несанкционированного доступа к  организации в период с 19.01.2023 по 22.03.2023.

Indicators of Compromise

IPv4

  • 95.217.99.28

URLs

  • http://95.217.99.28/Image_bigloadtrackuploads.php
  • http://bt.hurtom.com/announce/?h=842tFzFUWo&
  • http://bt.toloka.to/announce/?h=842tFzFUWo&
  • http://bt.toloka.tv/announce/?h=842tFzFUWo&
  • https://toloka.to/p1893256
  • https://toloka.to/t661196
  • https://www.dwservice.net/getagentfile.dw?name=files.xml

MD5

  • 0b1e980d569829c5748fb9acf6cfde00
  • 29a1b4b547c6edb8383c2f865fb71e52
  • 69bbbd899e76b29a0250d8b73326b624
  • 83330eb9fc3b1bd8be730ac4a2aba352
  • c83aebdbb21a3c7e155b4040e675b9a8
  • c97ade9038d492393113e5d8c2c63b75
  • f2b0c6b3e7794d3f3d3b2bba5709c672

SHA256

  • 36a16af682c2c6d6bc575d3442472e483ada21424bf9be1c72c2e7e27651d73f
  • 3de1ddc434c1c92fd4f5df8afc7bc5d746f093c3a2f6a58c975b53b24c2f5ca7
  • 40d0ecca47f4ed2265f84b540b7a4fd2b1ce337c910846d56d698e072d7ead6e
  • 41de9ed75aeac48f5c1ca94e5ed64a27227286c93a8df541f35d729f1ec87418
  • 64def4f01bee099c0a95c240d00c1987b2309fd6513830322ae16874c7728714
  • 8b19ab5cbee135e49a527a8bbfa8eedc2958a9625ffccf8d5f716696a9c18e5d
  • b8b5fadf15b0e36575513bb2cb255f604d4caad54dbddd473eadf8110602e854
Комментарии: 0