Недавно в ходе ежедневной работы по поиску угроз лаборатория DeepSight Intelligence Lab компании DeepSight обнаружила несколько zip-файлов, происходящих из Беларуси и России. После анализа было установлено, что эти zip-файлы представляют собой тщательно сконструированные образцы, эксплуатирующие уязвимость WinRAR (CVE-2023-38831) для осуществления вредоносных атак.
Описание
Злоумышленник отправляет фишинговое письмо с вложением уязвимого zip-файла. Когда пользователь открывает zip-файл с помощью уязвимого приложения WinRAR и нажимает на PDF-файл в нем, выполняется вредоносный код, содержащийся в zip-файле. Вредоносный код для секции команд powershell, которые будут загружены с сервера злоумышленника для последующей загрузки вредоносного кода и обманчивых PDF-документов, и откроет PDF-документ, чтобы запутать пользователя, а затем создаст план задач для выполнения только что загруженного вредоносного кода, вредоносного кода для инструмента бэкдора Athena.
Письмо 1 было подделано под документ о результатах совещания по плану работ на 2024-2025 годы, а отправитель был подделан под советника Министерства промышленности и торговли РФ по оборонным и военным вопросам. Атака направлена на российские компании, работающие в секторе производства микросхем.
Вложение письма представляет собой zip-архив с эксплойтом, который при нажатии на resultati_sovehchaniya_11_09_2023.pdf срабатывает из-за операции препроцессирования имени файла WinRAR, что приводит к выполнению resultati_sovehchaniya_11_09_2023.pdf .cmd
Команда в этом абзаце предназначена в основном для операции с удаленного сервера полезной нагрузки 45.142.212 [...]. 34 загружает и открывает запутанный PDF-документ, впоследствии загружает вредоносную полезную нагрузку и устанавливает план выполнения задачи. План задания называется "aimp2" и выполняется раз в десять минут. Каталог, в котором хранится вредоносная полезная нагрузка, имеет вид $($Env:LocalAppData)MicrosoftWindowsringtonesaimp2[...]. exe .
В данном случае злоумышленники использовали для AIMP маскировки инструмент бэкдора Athena_Agent. В качестве канала связи C2 в данной атаке использовался Discord. Поскольку этот инструмент представляет собой фреймворк бэкдора с открытым исходным кодом.
Название письма 2: "Объявление о проведении совещания по вопросам исследований в рамках планов работ на 2024 и 2025 годы". Содержание письма аналогично письму 1. Целью письма является ФГУП "ГосНИИПП", российское военное научно-исследовательское подразделение оборонного профиля. К письму был приложен зашифрованный zip-файл и PDF-файл с кодом дешифровки. Код расшифровки - Самара37.
Процесс последующей атаки аналогичен письму 1, но название созданного плана задач изменено с "aimp2" на "Microsoft Edge".
В результате анализа соответствующих активов было обнаружено множество файлов с образцами атак. Эти образцы были переданы с использованием уязвимости WinRAR (CVE-2023-38831). Помимо атак на российские подразделения, они также атаковали Беларусь. zip-файл, атакующий Беларусь, защищен паролем Гомель24.
Indicators of Compromise
IPv4
- 192.121.87.187
- 45.142.212.34
- 45.138.157.90
Domains
- cloudfare.webredirect.org
Emails
MD5
- 0c363153f41eb38d08adccc0d5427f54
- 129ccb333ff92269a8f3f0e95a0338ba
- 53ad0ee955ffeb5ccab171c4ad8e74ce
- 596925f37edee6ce2d287dcde3360c73
- 9649f4babcd2b580ccfbc63e35020741
- a5051580a58fe56eeed03e714a8afba2
- a85b9c7212eee05bc3cde3eeba8c7951
- B047AD3BE0365472C5B76029E4569062
- b05960a5e1c1a239b785f0a42178e1df
- cb4b08946b8eec16cbcf0f78f65a50f7
- cd1f48df9712b984c6eee3056866209a