В мире информационной безопасности атрибуция атак - процесс сложный и часто ошибочный. Яркой иллюстрацией этого стала новая кампания, которую первоначально пытались связать с известной группировкой TeamPCP, прославившейся атаками на экосистемы открытого ПО. Однако детальный технический анализ выявил совершенно иного, хотя не менее опасного, злоумышленника, использующего многоуровневую обфускацию и усовершенствованный троян для кражи конфиденциальных данных. Этот инцидент подчёркивает, насколько рискованно делать скоропалительные выводы о происхождении угрозы, основываясь лишь на поверхностных сходствах, и демонстрирует эволюцию методов киберпреступников, маскирующих свои инструменты под безобидные файлы.
Описание
Исследователь Ллойд Дэвис первоначально сообщил о подозрительном IP-адресе, на котором размещались файлы, стилистически напоминающие артефакты TeamPCP. Последующий глубокий анализ этих файлов опроверг первоначальные предположения. В центре кампании оказался файл с именем "oqqqqoa.mp3", маскирующийся под аудиозапись. На самом деле это сложно обфусцированный скрипт PowerShell, который при запуске инициирует цепочку заражения. Использование маскировки под медиафайл - социально-инженерный приём, рассчитанный на то, что пользователь, ожидая проигрывания музыки, дважды щёлкнет по файлу, что в определённых конфигурациях системы приведёт к его выполнению как скрипта.
Техническая сложность этого начального загрузчика впечатляет. Для уклонения от статического анализа и сигнатурных систем обнаружения злоумышленники применили четырёхслойную схему обфускации. Первый уровень использует намеренно запутанные имена переменных с большим количеством повторяющихся символов, что затрудняет ручной разбор кода. Второй слой разбивает основную полезную нагрузку на 7729 фрагментов, закодированных в Base64, которые собираются и декодируются только в памяти компьютера жертвы, никогда не сохраняясь на диск в читаемом виде. Третий уровень скрывает вызовы критических команд PowerShell, таких как "Invoke-Expression", представляя их в виде массивов ASCII-кодов. Наконец, четвёртый, наиболее защищённый слой, включает шифрование конфигурационных данных с использованием алгоритма RC4.
После успешного выполнения скрипт-загрузчик связывается с сервером распределения по IP-адресу 43.228.157[.]123 и загружает исполняемый файл "MidwestGrey.exe". Этот файл, упакованный с помощью протектора .NET Reactor для усложнения анализа, является многофункциональным вором информации. Динамический анализ в песочнице показал комплексное поведение: вредоносная программа порождает множество процессов "cmd.exe" для параллельного выполнения задач, крадёт данные из браузеров, ищет файлы криптовалютных кошельков и конфигурации VPN, а также проводит разведку системы. Ключевым компонентом является троян удалённого доступа PUREHVNC, замаскированный под процесс "RegAsm.exe". Он сразу же предпринимает анти-форензические действия, отключая трассировку Windows в реестре, чтобы скрыть своё сетевое взаимодействие.
Инфраструктура управления и контроля (Command and Control, C2) в этой кампании построена по двухуровневой схеме. Первый уровень - это упомянутый сервер распределения, который раздаёт вторичные полезные нагрузки. Второй, более важный уровень - активный C2-сервер PUREHVNC по адресу 46.151.182[.]216 на порту 8443. Именно на него эксфильтрируются похищенные данные и откуда поступают команды. За короткий промежуток наблюдения было зафиксировано получение с сервера около 616 КБ команд и модулей и отправка ему примерно 65 КБ украденной информации, что соответствует объёму похищенных паролей, данных кошельков и системной информации. Кроме того, вредоносная программа пыталась использовать резервный механизм на основе генератора доменных имён (DGA), создавая случайные домены для связи в случае блокировки основных серверов.
Несмотря на кажущуюся изощрённость, детальное сравнение техник данной кампании с известными операциями TeamPCP выявило кардинальные различия, исключающие атрибуцию. TeamPCP известна целенаправленными атаками на цепочки поставок ПО, использованием сложной криптографии вроде AES-256 и RSA-4096, а также фреймворком AdaptixC2. В данном же случае используется фишинг с файлом-приманкой, относительно устаревший шифр RC4, коммерческий троян PUREHVNC, а инфраструктура состоит из голых IP-адресов без сложной маскировки. PUREHVNC - это commodity-троян, то есть вредоносная программа как услуга, которую можно приобрести на теневых форумах примерно за 99 долларов в год. Его используют различные киберпреступные группировки, не связанные с целевыми атаками уровня APT.
Таким образом, перед нами не деятельность изощрённой группировки вроде TeamPCP, а работа типичных киберпреступников, которые, однако, применяют достаточно продвинутые методы обфускации и используют многофункциональный инструментарий для кражи ценных данных. Этот случай служит важным напоминанием для специалистов по безопасности: внешнее сходство тактик может быть обманчивым. Эффективная защита требует не предположений об источнике, а сосредоточенности на конкретных индикаторах компрометации, таких как хэши файлов, сетевые адреса и паттерны поведения, которые в этом случае были чётко документированы. Блокировка указанных IP-адресов и файлов, а также повышение осведомлённости пользователей о рисках запуска непроверенных файлов, даже с безобидными расширениями, являются ключевыми мерами для противодействия подобным угрозам.
Индикаторы компрометации
IPv4 Port Combinations
- 43.228.157.123:80
- 46.151.182.216:8443
URLs
- http://43.228.157.123/MidwestGrey.exe
MD5
- bdea1d91191344ff48fd20ddd8ecfe21
SHA256
- 72c08e044dd427964bc14339f95838e3d45f51f6a586330c683fbb59ea374b1d
- 7b57628329827948fd8be903b028b4e619e59abe03dd1ab2dad0939be9707a10
