В последние месяцы исследователи кибербезопасности Malwation обнаружили сложную фишинг-кампанию, нацеленную на турецкие предприятия, особенно в сфере обороны и аэрокосмической промышленности. Злоумышленники выдавали себя за TUSAŞ (Turkish Aerospace Industries), крупного оборонного подрядчика, рассылая поддельные электронные письма с якобы контрактными документами. Эти письма содержали вредоносные вложения, маскирующиеся под файлы с названиями вроде "TEKLİF İSTEĞİ - TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe", которые на самом деле распространяли Snake Keylogger - опасное ПО для кражи данных.
Описание
После запуска вредоносная программа использует сложные методы сохранения в системе, включая команды PowerShell для обхода защиты Windows Defender и создание запланированных задач для автоматического выполнения при каждом запуске системы. Snake Keylogger крадет конфиденциальные данные, такие как учетные записи, куки-файлы, платежные реквизиты и другую информацию из множества браузеров и почтовых клиентов.
Инцидент уже передан в Национальную группу реагирования на компьютерные инциденты Турции (USOM), и ведутся совместные работы по оповещению потенциально пострадавших организаций и минимизации дальнейших угроз.
Технические детали атаки
Файл с именем "TEKLİF İSTEĞİ - TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe" является исполняемым PE32-файлом, написанным на .NET, что позволяет злоумышленникам легко модифицировать и обфусцировать код. При запуске вредоносная программа добавляет себя в исключения Windows Defender с помощью команды PowerShell:
1 | Add-MpPreference -ExclusionPath "C:\Users\Jason\Desktop\TEKLİF İSTEĞİ - TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe" |
Кроме того, она создает запланированную задачу для автоматического запуска при старте системы, что обеспечивает долгосрочное присутствие в зараженной системе.
Как работает Snake Keylogger?
При детальном анализе с использованием инструментов вроде dnSpy и Chiron Unpacker исследователи обнаружили, что вредоносная программа сначала загружает безобидное приложение для конвертации температур, но затем запускает в памяти настоящий вредоносный модуль под названием "Remington".
Snake Keylogger обладает широким функционалом по краже данных:
- Кража данных из почтовых клиентов, таких как Outlook, FoxMail и ThunderBird, путем анализа реестра Windows и расшифровки сохраненных паролей.
- Сбор информации из браузеров, включая Chrome, Firefox, Edge, Brave, Opera и множество других, извлекая историю посещений, сохраненные пароли, данные кредитных карт и куки.
- Анти-аналитические техники, такие как проверка IP-адресов сандбоксов и систем мониторинга, чтобы избежать обнаружения.
- Передача данных через SMTP, FTP или мессенджеры (Telegram, Discord) в зависимости от настроек злоумышленников.
Расшифровка конфигурации
Вредоносная программа использует DES-шифрование для защиты своих настроек, включая SMTP-данные для отправки украденной информации. Исследователи смогли расшифровать часть конфигурации, обнаружив, что злоумышленники используют почтовый сервер "mail.htcp.homes" с портом 587 для пересылки данных на адрес "royal@htcp.homes".
Эта атака демонстрирует, насколько изощренными стали методы киберпреступников, особенно при таргетировании стратегически важных отраслей. Только комплексный подход к кибербезопасности поможет организациям защититься от подобных угроз.
Индикаторы компрометации
Domain Port Combinations
- mail.htcp.homes:587
Emails
- royals@htcp.homes
SHA256
- 0cb819d32cb3a2f218c5a17c02bb8c06935e926ebacf1e40a746b01e960c68e4
- 11f577cc6b6af304332d47fba2122ffb193e81378662ea7093ebe971107d89d6
- 2859b8700fc6111c40b806d114c43e2e3b4faa536eeab57d604818562905b911
- 3c9cddf85962249a967b3827e3edb4acb710dc0e3088c619342e2ce6df35bfbc
- 82fa8156e9d4fb47cd20908818b9172f86ed13eb683041658f242c58ce0a9cff
