Обнаружена новая фишинговая кампания BlackToad: операторы используют временное отключение сети для скрытной доставки Remcos

information security

Специалисты компании JUMPSEC зафиксировали необычную атаку на инфраструктуру одного из своих клиентов. Злоумышленники применили комбинацию из фишингового письма, самодельного загрузчика на AutoIt и встроенной в скрипт команды "ipconfig /release", которая на несколько секунд полностью отключает сеть на заражённом устройстве. Эта техника, получившая название "сетевой блэкаут", позволяет вредоносному коду исполняться в тот момент, когда система временно теряет связь с внешними серверами репутационных баз. Такой подход делает бесполезными многие облачные механизмы обнаружения, которые полагаются на проверку по хешам и запросы к удалённым источникам.

Описание

Инцидент начался с письма, написанного на тайском языке. Пользователь получил сообщение, которое визуально напоминало обычный платёжный документ. Вместо вложенного файла в теле письма содержалось изображение, на котором была размещена гиперссылка на облачный сервис MediaFire. Переход по ссылке приводил к загрузке исполняемого файла с двойным расширением ".pdf.scr". В операционной системе Windows расширения известных типов по умолчанию скрыты, поэтому пользователь видел только часть ".pdf" и мог принять файл за безобидный документ. На самом деле это был самораспаковывающийся архив WinRAR SFX. При запуске архив извлекал несколько файлов, большинство из которых являлись "пустышками" для отвлечения антивирусных сканеров, и запускал единственный скрипт с расширением ".vbe".

После очистки от мусорных инструкций скрипт оказался совсем небольшим. Его ключевая особенность - вызов команды "ipconfig /release", которая принудительно освобождает аренду IP-адреса и разрывает сетевое соединение. Затем скрипт запускал легитимный интерпретатор AutoIt3, переименованный в файл с расширением ".xls", и передавал ему на выполнение основной скрипт-загрузчик из файла ".das". Только после завершения всех вредоносных действий выполнялась команда "ipconfig /renew", восстанавливающая связь. Таким образом, весь период загрузки и распаковки финальной полезной нагрузки прошёл без доступа к интернету, что не давало антивирусным продуктам возможность сверить исполняемый код с облачными базами.

Сам загрузчик, написанный на AutoIt, оказался интересен не только техникой блэкаута. Размер файла ".das" составлял 88 мегабайт, но после удаления огромного количества комментариев реальный код уместился в 65 килобайт. Внутри скрипта содержались проверки на антивирусные среды и "песочницы". Например, если имя пользователя компьютера было "John", скрипт немедленно завершал работу. Далее загрузчик читал конфигурационный файл, который был скрыт внутри mp3-файла. В нём хранились пути для копирования, имя ключа реестра для закрепления (WindowsUpdate) и указатель на зашифрованную полезную нагрузку в файле ".ikp".

При декодировании этого файла исследователи обнаружили вложенный исполняемый модуль формата PE - это и был троян удалённого доступа Remcos Pro. Конфигурация Remcos была зашифрована алгоритмом RC4 с фиксированным ключом, который удалось извлечь. Расшифрованные настройки показали три адреса серверов управления (C2) в доменах динамического DNS: pmitm.ddns.net, lordtoad.duckdns.org и toadshit.ddnsfree.com. Все три домена указывали на один и тот же IPv4-адрес 197.210.55[.]184, принадлежащий нигерийскому мобильному оператору MTN Nigeria. Геолокация адреса соответствует городу Онича в штате Анамбра. Это означает, что злоумышленник, скорее всего, использует собственное мобильное подключение с порт-форвардингом, а не арендует сервер у хостинг-провайдера. Такой подход затрудняет отслеживание, так как IP-адрес может регулярно меняться. Дополнительное исследование через VirusTotal показало, что ранее на этом же IP наблюдались разрешения для домена atelilian99.ddns.net, а на соседнем инфраструктурном узле в нидерландском дата-центре Pfcloud обнаружились связи с кампанией, известной как BoredFluff, которая нацеливалась на сотрудников отелей через поддельные запросы гостей.

На основе собранных данных JUMPSEC выделила новый кластер атак, который назвала BlackToad. Название складывается из двух элементов: "блэкаут" - ключевая техника временного отключения сети, и "Toad" - часть доменных имён злоумышленников (lordtoad, toadshit). BlackToad, по всей видимости, является ответвлением более крупной нигерийской киберпреступной экосистемы SilverTerrier, которую отслеживает аналитический центр Unit 42. Однако используемый криптер (программа-упаковщик вредоносного кода), схемы обфускации, темы приманок (финансовые и гостиничные) и использование bulletproof хостинга Pfcloud не соответствуют ни одному из ранее описанных субкластеров SilverTerrier. Связь с BoredFluff подтверждается пересечением по IP-адресу в Pfcloud: на одном и том же узле в начале мая были размещены как домены BlackToad, так и инфраструктура BoredFluff.

Последствия данной атаки могут быть серьёзными, поскольку Remcos - это полнофункциональный инструмент для удалённого администрирования, который злоумышленники используют для кражи паролей, записи нажатий клавиш, мониторинга буфера обмена и извлечения файлов. Для защиты специалистам по информационной безопасности рекомендуется обратить внимание на сетевой трафик, который внезапно прерывается сразу после запуска подозрительных файлов, а также блокировать ASN нигерийских мобильных операторов (например, AS29465, AS36873) на периметре, если это возможно без нарушения бизнес-процессов. Главный долгосрочный индикатор для отслеживания - хеш лицензии Remcos, который остаётся неизменным во всех образцах, созданных с одной и той же лицензией. Его легко извлечь из расшифрованной конфигурации. Организациям, обнаружившим подобные индикаторы, следует проверить системы на наличие активности, характерной для Remcos: необычные процессы с сетевыми соединениями, создание ключей автозапуска и попытки подключения к динамическим DNS-доменам.

Индикаторы компрометации

IPv4

  • 102.90.43.109
  • 105.112.100.79
  • 197.210.55.170
  • 45.156.87.226

Domains

  • lordtoad.duckdns.org
  • pmitm.ddns.net
  • toadshit.ddnsfree.com

TLS Certificate Fingerprints

  • Server Cert SHA-256 968acff969fa24a9e9118595684e23b8f2af070bbdc4b06f42a349ecf4de89e4
  • Alternative Cert SHA-256 881c16c2867fb5080aa48ffb6cad1abb78d441f2760915b0c1545b73de97e2bd

SHA256

  • 5f93c41109a00c74366c5e8e698dfb669bad2bfa56db1de95504b337169ff4aa
  • 67d29c06ecb9d1a359723a5c97d6f0c826b53536520e17011c1ec93c8a2919b1
  • 83d7c4217cbf6eccca944f07b56ada85e51262a34b55e1c649eca0cf46b0db48
  • 98e4f904f7de1644e519d09371b8afcbbf40ff3bd56d76ce4df48479a4ab884b
  • ad18efbb84ef7a0cc68c7bc60f4cc3582ecdea1742699c7c2337222250c7b098
  • b8bed1ec1854116c3f399468b622ef8cf317ec9ca70eb6d42f030f4b3cbd3495
  • dd902a4d8e688b0208a406701dbd92f31d3db306b0c0706f799757783f09dbe7
  • dd9fd02e79468e68e9d4bba0ba71194d9bb0ccc33d2aac612e6e2f59dbfc5529
  • fb47b92e98576d728cb30a887ecc7531ff444833a748aef4d5f821327059baab

Комментарии: 0