Хактивисты RGB-Team: проукраинские атакующие использовали утекший билдер вымогателей для кражи данных

Группа RGB-Team, позиционировавшая себя как проукраинская, нацеливалась преимущественно на организации в России, включая муниципальные образования, предприятия химической промышленности и государственные службы. Их конечной целью была не остановка производства, а эксфильтрация данных с последующей публикацией в Telegram-канале группы. Последняя известная кампания, датированная летом 2024 года, была направлена против газодобывающей компании. Атака началась с компрометации сервера WordPress, что позволило злоумышленникам разместить на нём вредоносные файлы и использовать его для рассылки фишинговых писем. Вложениями или ссылками в таких письмах служил самописный червь, известный как CMoon.

Этот вредонос, скомпилированный на .NET, был замаскирован под офисные документы с двойным расширением (например, "1_dogovor.docx.exe") и распространялся в виде самораспаковывающихся архивов. Его основная функция - закрепление в системе, скрытный сбор данных и их передача оператору. Изначально, когда этот червь был обнаружен, его не удалось связать ни с одной известной группировкой. Однако позже ответственность за атаку публично взяла на себя именно RGB-Team, опубликовав украденные данные, что позволило исследователям установить связь.

Недавно аналитики обнаружили новый образец CMoon, датированный октябрём 2024 года, что указывает на ранее неизвестную кампанию. Этот вариант демонстрирует серьёзное развитие возможностей злоумышленников. В нём появились продвинутые механизмы противодействия анализу, включая AntiVM- и AntiSandbox-модули. Червь проверяет модель компьютера через WMI (инструментарий управления Windows), ищет признаки виртуальных сред вроде VMware или QEMU, а также пытается загрузить библиотеки, характерные для песочниц, такие как "cuckoomon". Для защиты от отладки используется проверка свойства "ProcessDebugPort". После успешного прохождения всех проверок вредонос применяет относительно редкий метод закрепления в системе через Alternate Data Streams (ADS, альтернативные потоки данных). Он создаёт скрытую копию себя в ADS обычного файла (например, с расширением ".sqlite"), а затем помещает в автозагрузку ярлык, запускающий эту скрытую копию, что значительно затрудняет обнаружение.

Одной из самых интересных особенностей нового CMoon является его метаморфический механизм обфускации. Изначально файл запускается в незашифрованном, читаемом виде. Затем он проверяет собственную MD5-хэш-сумму через публичный поиск Google. Если файл уже фигурирует в поисковой выдаче (то есть, вероятно, описан исследователями), червь автоматически перешифровывает и переименовывает собственный код, создавая новую, уникальную версию. Этот подход позволяет ему избегать сигнатурных методов обнаружения до тех пор, пока он не попадёт в поле зрения аналитиков. Для затруднения поведенческого анализа CMoon также создаёт легитимные на вид дочерние процессы и внедряет в другие процессы руткит-модули, выполняющие длительные операции "Sleep", что помогает выйти за временные лимиты песочниц.

Хотя сам билдер (инструмент для сборки) CMoon найден не был, расследование привело экспертов к другому, тесно связанному инструменту - билдеру под названием DarkBuilder. Анализ обнаруженных образцов показал, что функционально DarkBuilder и CMoon используют идентичные или очень похожие алгоритмы обфускации и другие низкоуровневые функции. Более того, на одном из скомпрометированных хостов вместе с CMoon был найден стилер (программа для кражи данных) WhiteSnake, сконфигурированный на тот же C2-сервер (сервер управления), что и червь. И WhiteSnake, и DarkBuilder использовали одинаковую криптографическую "соль" в механизме обфускации, что является сильным признаком общего происхождения.

Расследование происхождения DarkBuilder привело к неожиданному результату. Ранние версии этого билдера содержали метаданные, ссылавшиеся на профиль на GitHub с ником LightM4n. Этот профиль, в свою очередь, был связан с известной киберпреступной группировкой Eternity, действовавшей по модели Malware-as-a-Service (MaaS, "вредоносное ПО как услуга"). Eternity продавала или распространяла набор вредоносных инструментов, включая стилеры, клипперы и шифровальщики, а DarkBuilder, судя по всему, был частью их инфраструктуры для сборки этих образцов. Исследователи также нашли исходный код управляющего сервера и веб-панели для WhiteSnake, которые, вероятно, утекли или были скомпрометированы. Эта панель позволяла партнёрам по MaaS с минимальными техническими навыками конфигурировать собственные версии стилера, выбирая тип соединения (HTTP, Telegram), режим закрепления и загружая дополнительные модули.

Таким образом, картина деятельности RGB-Team становится яснее. Вместо того чтобы разрабатывать сложные инструменты с нуля, хактивисты, по всей видимости, воспользовались утечкой или компрометацией инфраструктуры криминальной группы Eternity. Они взяли за основу билдер DarkBuilder и связанные с ним компоненты, такие как WhiteSnake, и существенно доработали их, создав более продвинутую версию червя CMoon. Эта версия была дополнена сложной обфускацией, методами противодействия анализу и скрытного закрепления. В итоге группа получила в распоряжение эффективный инструмент для целевых атак на хищение данных, что нетипично для хактивизма в его классическом понимании.

На данный момент активность RGB-Team не наблюдается, однако история с возрождением или реорганизацией подобных групп не редкость. Их деятельность демонстрирует важность мониторинга не только за действиями известных APT-групп, но и за распространением инструментария в теневом сегменте. Утечка мощного билдера от одной группы может быстро привести к появлению новых, технологически оснащённых противников, чьи мотивы и цели могут кардинально отличаться от первоисточника. Для специалистов по защите это означает необходимость уделять внимание не только тактикам и процедурам конкретных группировок, но и признакам использования определённых семейств вредоносного ПО и связанных с ними техник, которые могут быть адаптированы кем угодно.

IPv4

• 45.59.104.152
• 93.185.167.95

MD5

• 132404f2b1c1f5a4d76bd38d1402bdfa
• 142ee417e051ff1205fb11e4cc94dea4
• 150618981088b0b6beba03b459b34940
• 46ac6cda371b83ce910c404a08059b25
• 61d8073566892d3e010e3f745b0237df
• 64942a8ec9b2796c8f9522d6e7f2c248
• 8de3b8ac5fa4cc80fba51aa1dca9f953
• 90261f729f296a8a65488286f9c52df1
• b201a94e80f8cc1ad7cc2448ae5b9259
• ca5b677820c0cd1b65697df3a6843593
• ccfed1dc8d319a0eb55082d91243a332
• d1c927c3668c16db3c8d716f9b935790
• d77a015f022d8a0cbf00204ac3ae496d
• ddfa9440fcccba572fb800c8d14400d1
• f9af6743d3bd7e084810c70f8d9b10f6