Специалисты компании JUMPSEC зафиксировали необычную атаку на инфраструктуру одного из своих клиентов. Злоумышленники применили комбинацию из фишингового письма, самодельного загрузчика на AutoIt и встроенной в скрипт команды "ipconfig /release", которая на несколько секунд полностью отключает сеть на заражённом устройстве. Эта техника, получившая название "сетевой блэкаут", позволяет вредоносному коду исполняться в тот момент, когда система временно теряет связь с внешними серверами репутационных баз. Такой подход делает бесполезными многие облачные механизмы обнаружения, которые полагаются на проверку по хешам и запросы к удалённым источникам.
Описание
Инцидент начался с письма, написанного на тайском языке. Пользователь получил сообщение, которое визуально напоминало обычный платёжный документ. Вместо вложенного файла в теле письма содержалось изображение, на котором была размещена гиперссылка на облачный сервис MediaFire. Переход по ссылке приводил к загрузке исполняемого файла с двойным расширением ".pdf.scr". В операционной системе Windows расширения известных типов по умолчанию скрыты, поэтому пользователь видел только часть ".pdf" и мог принять файл за безобидный документ. На самом деле это был самораспаковывающийся архив WinRAR SFX. При запуске архив извлекал несколько файлов, большинство из которых являлись "пустышками" для отвлечения антивирусных сканеров, и запускал единственный скрипт с расширением ".vbe".
После очистки от мусорных инструкций скрипт оказался совсем небольшим. Его ключевая особенность - вызов команды "ipconfig /release", которая принудительно освобождает аренду IP-адреса и разрывает сетевое соединение. Затем скрипт запускал легитимный интерпретатор AutoIt3, переименованный в файл с расширением ".xls", и передавал ему на выполнение основной скрипт-загрузчик из файла ".das". Только после завершения всех вредоносных действий выполнялась команда "ipconfig /renew", восстанавливающая связь. Таким образом, весь период загрузки и распаковки финальной полезной нагрузки прошёл без доступа к интернету, что не давало антивирусным продуктам возможность сверить исполняемый код с облачными базами.
Сам загрузчик, написанный на AutoIt, оказался интересен не только техникой блэкаута. Размер файла ".das" составлял 88 мегабайт, но после удаления огромного количества комментариев реальный код уместился в 65 килобайт. Внутри скрипта содержались проверки на антивирусные среды и "песочницы". Например, если имя пользователя компьютера было "John", скрипт немедленно завершал работу. Далее загрузчик читал конфигурационный файл, который был скрыт внутри mp3-файла. В нём хранились пути для копирования, имя ключа реестра для закрепления (WindowsUpdate) и указатель на зашифрованную полезную нагрузку в файле ".ikp".
При декодировании этого файла исследователи обнаружили вложенный исполняемый модуль формата PE - это и был троян удалённого доступа Remcos Pro. Конфигурация Remcos была зашифрована алгоритмом RC4 с фиксированным ключом, который удалось извлечь. Расшифрованные настройки показали три адреса серверов управления (C2) в доменах динамического DNS: pmitm.ddns.net, lordtoad.duckdns.org и toadshit.ddnsfree.com. Все три домена указывали на один и тот же IPv4-адрес 197.210.55[.]184, принадлежащий нигерийскому мобильному оператору MTN Nigeria. Геолокация адреса соответствует городу Онича в штате Анамбра. Это означает, что злоумышленник, скорее всего, использует собственное мобильное подключение с порт-форвардингом, а не арендует сервер у хостинг-провайдера. Такой подход затрудняет отслеживание, так как IP-адрес может регулярно меняться. Дополнительное исследование через VirusTotal показало, что ранее на этом же IP наблюдались разрешения для домена atelilian99.ddns.net, а на соседнем инфраструктурном узле в нидерландском дата-центре Pfcloud обнаружились связи с кампанией, известной как BoredFluff, которая нацеливалась на сотрудников отелей через поддельные запросы гостей.
На основе собранных данных JUMPSEC выделила новый кластер атак, который назвала BlackToad. Название складывается из двух элементов: "блэкаут" - ключевая техника временного отключения сети, и "Toad" - часть доменных имён злоумышленников (lordtoad, toadshit). BlackToad, по всей видимости, является ответвлением более крупной нигерийской киберпреступной экосистемы SilverTerrier, которую отслеживает аналитический центр Unit 42. Однако используемый криптер (программа-упаковщик вредоносного кода), схемы обфускации, темы приманок (финансовые и гостиничные) и использование bulletproof хостинга Pfcloud не соответствуют ни одному из ранее описанных субкластеров SilverTerrier. Связь с BoredFluff подтверждается пересечением по IP-адресу в Pfcloud: на одном и том же узле в начале мая были размещены как домены BlackToad, так и инфраструктура BoredFluff.
Последствия данной атаки могут быть серьёзными, поскольку Remcos - это полнофункциональный инструмент для удалённого администрирования, который злоумышленники используют для кражи паролей, записи нажатий клавиш, мониторинга буфера обмена и извлечения файлов. Для защиты специалистам по информационной безопасности рекомендуется обратить внимание на сетевой трафик, который внезапно прерывается сразу после запуска подозрительных файлов, а также блокировать ASN нигерийских мобильных операторов (например, AS29465, AS36873) на периметре, если это возможно без нарушения бизнес-процессов. Главный долгосрочный индикатор для отслеживания - хеш лицензии Remcos, который остаётся неизменным во всех образцах, созданных с одной и той же лицензией. Его легко извлечь из расшифрованной конфигурации. Организациям, обнаружившим подобные индикаторы, следует проверить системы на наличие активности, характерной для Remcos: необычные процессы с сетевыми соединениями, создание ключей автозапуска и попытки подключения к динамическим DNS-доменам.
Индикаторы компрометации
IPv4
- 102.90.43.109
- 105.112.100.79
- 197.210.55.170
- 45.156.87.226
Domains
- lordtoad.duckdns.org
- pmitm.ddns.net
- toadshit.ddnsfree.com
TLS Certificate Fingerprints
- Server Cert SHA-256 968acff969fa24a9e9118595684e23b8f2af070bbdc4b06f42a349ecf4de89e4
- Alternative Cert SHA-256 881c16c2867fb5080aa48ffb6cad1abb78d441f2760915b0c1545b73de97e2bd
SHA256
- 5f93c41109a00c74366c5e8e698dfb669bad2bfa56db1de95504b337169ff4aa
- 67d29c06ecb9d1a359723a5c97d6f0c826b53536520e17011c1ec93c8a2919b1
- 83d7c4217cbf6eccca944f07b56ada85e51262a34b55e1c649eca0cf46b0db48
- 98e4f904f7de1644e519d09371b8afcbbf40ff3bd56d76ce4df48479a4ab884b
- ad18efbb84ef7a0cc68c7bc60f4cc3582ecdea1742699c7c2337222250c7b098
- b8bed1ec1854116c3f399468b622ef8cf317ec9ca70eb6d42f030f4b3cbd3495
- dd902a4d8e688b0208a406701dbd92f31d3db306b0c0706f799757783f09dbe7
- dd9fd02e79468e68e9d4bba0ba71194d9bb0ccc33d2aac612e6e2f59dbfc5529
- fb47b92e98576d728cb30a887ecc7531ff444833a748aef4d5f821327059baab