Operation FrostBeacon: фишинговая кампания использует старые уязвимости для атак на российский бизнес

В ходе кампании было замечено более 20 начальных файлов заражения, причём вторжение полагается на многослойную цепочку инфекции с двумя различными кластерами. Первый кластер заражает через фишинговые архивные файлы, содержащие вредоносные файлы ярлыков. Второй кластер использует устаревшую уязвимость CVE-2017-0199, связанную с внедрением шаблонов, и даже объединяет её с другой старой уязвимостью редактора уравнений CVE-2017-11882. Оба кластера приводят к выполнению удалённого HTA-файла для запуска обфусцированного загрузчика PowerShell, способного расшифровывать и запускать шеллкод в памяти, что в конечном итоге приводит к развёртыванию Cobalt Strike.

Географический фокус кампании чётко нацелен на Российскую Федерацию, что подтверждается именами файлов, временными метками и данными телеметрии. Целевыми отраслями стали B2B-предприятия в логистике, промышленном производстве, строительстве и техническом снабжении, с акцентом на финансовые и юридические департаменты, а также корпоративные почтовые ящики для информации.

В первом кластере начальный доступ осуществляется через доставку архивов. Инфекционная цепочка начинается с распространения архива через вложение в фишинговом письме. Например, файл с именем "рекламация.zip" содержит два компонента: легитимную на вид книгу Excel для отвлечения внимания и вредоносный LNK-файл, маскирующийся под PDF-документ. Когда пользователь дважды щёлкает по LNK-файлу, он запускает скрытую команду PowerShell, которая, в свою очередь, активирует mshta.exe для загрузки удалённого HTA-файла с таких доменов, как ezstat[.]ru или valisi[.]ru.

HTA-файл действует как основное исполняемое звено на ранней стадии атаки, используя привилегии скриптов Windows через mshta.exe для тихого выполнения без ограничений. После запуска HTA восстанавливает несколько блоков, закодированных в Base64, в сжатый скрипт PowerShell, подготавливает среду для доставки полезной нагрузки следующего этапа и инициирует выполнение через встроенную логику. Эти многослойные кодирования вводят обфускацию, затрудняют статический анализ и обеспечивают прогресс атаки, избегая раннего обнаружения.

Окончательный этап PowerShell выполняет несколько ключевых функций. Он реализует трёхслойную последовательность обфускации, каждый шаг которой предназначен для задержки раскрытия вредоносной логики. Первый слой - это строка Base64, сжатая с помощью gzip, встроенная в MemoryStream. После декодирования и распаковки она выдает скрипт PowerShell второго этапа. Этот скрипт содержит две основные функции: func_get_proc_address для динамического разрешения адресов неуправляемых API Windows и func_get_delegate_type для создания типов делегатов во время выполнения с использованием System.Reflection.Emit. Их роль - построить полную среду выполнения в памяти, позволяя загрузчику вызывать API без объявлений и без записи каких-либо артефактов на диск.

Внутри этого скрипта второго этапа находится третий и последний слой: большой двоичный объект, закодированный в Base64, хранящийся в переменной $v_code. После декодирования скрипт выполняет побайтовую операцию XOR с ключом 35. Это производит буфер сырого шеллкода, который затем копируется в выделенную исполняемую память с помощью VirtualAlloc. Расшифрованный шеллкод копируется и выполняется через динамически сгенерированный указатель функции. Этот окончательный шеллкод является загрузчиком Cobalt Strike Beacon, завершая многоэтапную цепочку выполнения без файлов.

Во втором кластере злоумышленники используют фишинговые письма с вложениями DOCX, которые эксплуатируют уязвимость CVE-2017-0199 для запуска редактора уравнений, приводящего к выполнению удалённого HTA-файла. Фишинговые письма в этом случае претендуют на юридические требования о погашении долга, ссылаясь на контракты и судебные разбирательства. Более того, в некоторых цепочках наблюдалось объединение CVE-2017-0199 с CVE-2017-11882, где документ загружает RTF-файл, который, в свою очередь, использует уязвимость редактора уравнений для выполнения вредоносного кода.

Инфраструктура кампании включает множество доменов, контролируемых из России, которые настроены как командные и управляющие конечные точки, наряду с настроенным изменяемым профилем Cobalt Strike. Анализ показал, что зарегистрированные домены, такие как incident.zilab[.]ru, mcnn[.]ru, и другие, были созданы в разное время, некоторые ещё в 1999 году, и зарегистрированы через российских провайдеров, таких как RU-CENTER-RU. Это указывает на использование существующей или скомпрометированной инфраструктуры.

На основе анализа эксперты оценивают, что угроза исходит от русскоязычной финансово мотивированной киберпреступной группы. Наблюдается пересечение тактик, техник и процедур (TTP) с группой Cobalt Group, которая ранее атаковала финансовые учреждения по всему миру, но в Operation FrostBeacon не были замечены специфические семейства вредоносного ПО, характерные для них.

В заключение, Seqrite Labs проанализировала многокластерную кампанию, нацеленную на российские B2B-предприятия, фокусируясь на финансовых и юридических отделах. Отслеживаемая как Operation FrostBeacon, эта финансово мотивированная киберпреступная группа использует два параллельных вектора доставки: вредоносный документ DOCX и вооружённый ZIP-архив, оба из которых в конечном итоге преследуют одну цель - развёртывание Cobalt Strike Beacon в памяти. Комбинация старых уязвимостей, многослойной обфускации и использования легитимных инструментов Windows делает эту кампанию особенно скрытной и опасной для организаций, которые не обновили свои системы или не имеют надлежащих мер безопасности.

IPv4 Port Combinations

• 45.145.91.164:64830
• 45.147.14.106:62900

Domains

• aquacomplect.ru
• bsprofi.ru
• bti25.ru
• cba.abc92.ru
• dosingpumps.ru
• ekostroy33.ru
• esetnod64.ru
• ezstat.ru
• forensics.jwork.ru
• gk-stst.ru
• hostbynet.ru
• incident.zilab.ru
• iplis.ru
• iplogger.ru
• krona77.ru
• lieri.ru
• mcnn.ru
• moscable77.ru
• order.edrennikov.ru
• update.ecols.ru
• valisi.ru
• yadro.ru
• zetag.ru

URLs

• http://aquacomplect.ru/aqua.docx
• http://aquacomplect.ru/complex.hta
• http://bti25.ru/china.hta
• http://bti25.ru/openai.rtf
• http://canature.su/ya.hta
• http://clack.su/fox.docx
• http://dosingpumps.ru/nciki.hta
• http://ecols.ru/ecols.hta
• http://ecols.ru/gogo.rtf
• http://emec.su/bg.rtf
• http://forensics.jwork.ru/jquery-3.3.1.slim.min.js
• http://gemme-cotti.ru/cotti.docx
• http://gemme-cotti.ru/mida.hta
• http://gemme-cotti.ru/zibaba.hta
• http://krona77.ru/edr.hta
• http://order.edrennikov.ru/jquery-3.3.1.min.js
• http://poopy.aarkhipov.ru:8080/jquery-3.3.1.slim.min.js
• http://ship-care.com/care.rtf
• http://valisi.ru/first.rtf
• http://vlasta-s.ru/logista.hta
• http://vlasta-s.ru/logista.rtf
• http://xn--e1ajbcejcefx.xn--p1ai/sflopytrgjklhfaseri
• http://zetag.ru/siro.doc
• http://zetag.ru/tramp.rtf
• http://zetag.ru/z.hta
• https://bsprofi.ru/min.hta
• https://bsprofi.ru/profit.hta
• https://cba.abc92.ru:8443/jquery-3.3.1.slim.min.js
• https://ekostroy33.ru/jquery-3.3.2.min.js
• https://ezstat.ru/flowersforlove.gif
• https://ezstat.ru/kissmyass.gif
• https://ezstat.ru/txttx.txt
• https://incident.zilab.ru:8443/jquery-3.3.1.slim.min.js
• https://ipgrabber.ru/penis.gif
• https://iplis.ru/camorra.gif
• https://iplis.ru/laydowngrenade.jpeg
• https://iplis.ru/lovers.jpeg
• https://iplis.ru/penises.jpg
• https://iplis.ru/tramp.jpg
• https://iplogger.cn/forensicsas.png
• https://iplogger.ru/sugar.png
• https://mcnn.ru:8443/jquery-3.3.1.slim.min.js
• https://moscable77.ru:8443/jquery-3.3.1.slim.min.js
• https://update.ecols.ru:8443/jquery-3.3.1.slim.min.js
• https://valisi.ru/dosing.hta
• https://yip.su/certgovrufuck.gif
• https://yip.su/ncikigovru.gif
• https://yip.su/txttxt.jpg

Emails

• a.s.rogov@kzst45.ru
• buh@toolhaus.ru
• karina@toolhaus.ru
• kornilova@impex-him.ru
• Kristina.Yasnova@art.cse.ru
• yakovleva@effectovent.ru

MD5

• 020829a48c813d34aa68bcda4695144e
• 08fc33687a6158dd15aa72e631905e10
• 0e1aa36d57416bac883e11f5860348cc
• 16ae36df5bee92d8c4cae8e17583a2c9
• 16e9c51f60b629257140cb6ffc7a36ec
• 2516898e2cb2cb1dca166bc69b7379c2
• 2c18c78ec584c5d2d045c9ab94774ad7
• 2e8a01026b5c298a9b1d2519241f0b16
• 30517af2afba9baf55941c250cfd8a0f
• 315bcab1a9cbfe0b5b24676c2016a9cc
• 395da66bee080c943e820b4e61e50de6
• 456289209b90d09e54a1a439e3fe5248
• 48d588add63a0373ec896da4ee59b79e
• 4ac75939c482d5c30637d56a379835f1
• 5461a16272491f8e8b460c687d3436a6
• 55bcc275baaae11ab634c03a9de36557
• 5667aa62833dd6ebd15da40130ab963d
• 582f7f2c93b6e14fb6c14a9b3ad09a83
• 58f1700e70ea49c0c520429fae09391b
• 594d802ceebb1042101ffafa3e98caa6
• 5e51ff594c46170ef278d1c18cded7d0
• 5efb844fefdbd92ccab34a5ec135ecac
• 5facd6d79a20249fd58c29f9dc98dfe2
• 600aeffa4395c00be2958fd8dd5135a8
• 6b8d22221e7c0dbcde24bc687a7dd6cd
• 6d4691e3262d4271f76b14a9ea511ca5
• 7059cd5ff17c2983ee6f33053d501ab3
• 7096141a5b480e793e9a890b84ebaee2
• 7261fc5b42cc63ae34f520fc8f3ef5a4
• 7340c916254e31e0dbb7fcec7a89cfb0
• 74f23f2e1e9d209d0961bbf6ff74dafe
• 833aa0a39625a4014c3c019ecf06a577
• 835f3661ef77bc4c083f6da9b11c6e5e
• 8ba9f38456557e58bf4613b363298d55
• 8bddf8880ab3c631abd3ca452924d556
• 8d0821b0bb290beb156ad836237cff05
• 8ddcc3d272dd6b926d5c439a59198b51
• 8f60ad980885ff0000f6a9d29ce95376
• 94b800809107fb2ef6ec640ff1e0fb51
• 976649b232d3525dd239f7139a65dd92
• 98f21aabbf9a76d762813d6c0ec8c876
• 9e5488696f4c5bf354e2e94775d9277c
• a02f62d86f127b2547beac11420165fa
• a20f54df1e75c661d6670447d74ce6f7
• a5bc486ca38160ae9f54650d790d9684
• ac558fd07ffa0d6831d523b8af8ac80b
• adef76d41463df53283588622c5e48e3
• adf61ffa03806b954450c8954fb976c7
• ba8a950edf8c1414a978d9a4111343e2
• bbd10ee2ff2488faa297593e79df4512
• c088e4f9875bf4df552e418a54c4ce07
• c1f40aeaf0606255920a3b82e80b64cc
• cdfb407a0b894f5b4a6108273b81d864
• dcad3be881d072240b4c5c601e562ed2
• dcdc1bad9fb1c049b7f28afa7dc8712a
• dfb56174c5ec2d0d8d82eb4b5ebf4f38
• eb0516a78fa169ab0867cb9b98136357
• ef854d4cb12974fc702d10b403b3ef0b
• f16417878356a08f840dac7f03461b5d
• f3a4176a981e50d76b8e4716400e86f2
• f87227dad7bedf66bf1a1b97aa36bf62
• f9026fabfb8d131863ad06fd72eb2717
• feae3d231a354882bb0f70889cc69a74
• ff96714b6e31e362e7acce7338f30cf0