Аналитический центр AhnLab SEcurity (ASEC) недавно обнаружил распространение вредоносной программы Revenge RAT, которая была разработана на основе легитимных инструментов. Судя по всему, злоумышленники использовали такие инструменты, как 'smtp-validator' и 'Email To Sms'. Во время выполнения вредоносная программа создает и запускает как легитимный инструмент, так и вредоносный файл, что не позволяет пользователям понять, что произошла вредоносная активность.
Revenge RAT
Перед выполнением smtp-verifier.exe (легитимного инструмента) агент угроз создает и запускает Setup.exe (вредоносный файл). Свойство созданного файла изменяется на "Скрытый", и файл становится скрытым от обычного окружения проводника Windows.
В процессе генерируется множество файлов, конечной целью которых является запуск вредоносной программы Revenge RAT.
Вредоносный файл "setup.exe", созданный с помощью легитимного инструмента, играет лишь роль генератора дополнительных вредоносных программ, как показано ниже.
- Создает и запускает файл svchost.exe по пути %appdata%Microsoft\Windows\Templates со свойством FileAttribute.Hidden
- Регистрирует созданный svchost.exe в реестре для автозапуска (Имя значения: Microsoft Corporation Security)
svchost.exe выполняет следующие действия:
- Подключается к C2 (hxxps://***********[.]blogspot.com) и загружает HTML-файл
- Злоумышленник считывает и распаковывает специфическую аннотацию, создает и запускает файл explorer.exe по пути %appdata%Microsoft\Windows\Templates.
C2 маскируется под обычный блог и содержит вредоносный файл в строке аннотации с определенным смещением. Злоумышленник считывает значение между <!-1111 - 2222->, записанное внутри HTML-файла, выполняет Base64-декодирование, распаковывает его и генерирует дополнительное вредоносное ПО.
Если C2 URL, указанный в шаге 1, недоступен, угрожающий агент обращается к другому C2 URL (hxxp://**********.***********[.]com/2023/explorer.txt). При подключении возвращается новый C2 URL, который также замаскирован под обычный блог. Угрожающий агент развернул этот механизм на случай, если существующий C2 URL заблокирован или когда угрожающий агент обновляет новый C2.
Вредоносный файл (explorer.exe), извлеченный из HTML-файла C2, выполняет следующие действия:
- Создает файл version.exe по пути %appdata%Microsoft\Windows\.
- Создает файл .inf, содержащий путь к файлу version.exe в каталоге %temp%, и выполняет его, отправляя в качестве аргумента файлу cmstp.exe.
- Запускает Revenge RAT в бесфайловом режиме
Сгенерированный файл version.exe выполняет простую задачу: Регистрирует файлы, используемые в атаке, в качестве исключения в Windows Defender с помощью команды PowerShell.
Затем участник атаки отправляет version.exe в cmstp и запускает его. Это и есть CMSTP Evasion - техника запуска вредоносного файла под видом базовой программы Windows (cmstp.exe) для обхода антивирусного обнаружения. MITRE ATT&CK классифицирует технику CMSTP Evasion как System Binary Proxy Execution: the CMSTP (T1218.003). Эта техника была представлена в предыдущих статьях ASEC Blog [1][2] (пока эти отчеты поддерживают только корейский язык) и часто используется в различных штаммах вредоносного ПО.
Файл .inf, который будет отправлен cmstp.exe в качестве аргумента, генерируется со случайным именем (на момент анализа - g1rfp0hb.inf) по пути %temp%. Он существует в виде шаблона в области ресурсов в файле explorer.exe. Путь заменяется на путь версии.exe при генерации строки 'REPLACE_COMMAND_LINE'.
Версия.exe, запущенная с помощью техники CMSTP Evasion, выполняет следующую команду и регистрирует вредоносные файлы, используемые в атаке, в качестве исключения для Защитника Windows. Можно отметить, что большинство вредоносных файлов, таких как explorer и svchost, используемых на этапе атаки, названы в честь программ Windows по умолчанию.
| 1 2 3 4 5 6 7 8 9 10 11 12 | cmd.exe /c PoserShell.exe -windowstyle hidden Add-Mppreference -ExclusionPath %appdata%\Microsoft\Windows\explorer.exe %appdata%\Microsoft\Windows\Cortana.exe %appdata%\Microsoft\Windows\OneDrive.exe %appdata%\Microsoft\Windows\Templates\svchost.exe %appdata%\Microsoft\Windows\SystemSettings.exe %appdata%\Microsoft\Windows\Taskmgr.exe |
После этого агент угрозы считывает двоичный файл из области ресурсов и с помощью алгоритма DES расшифровывает его, чтобы в итоге обнаружить конечную цель агента угрозы - Revenge RAT. MITRE ATT&CK классифицирует RAT как Revenge RAT (S0379) и включает в себя такие вредоносные действия, как сбор системной информации, захват экрана, кейлоггинг, загрузка дополнительного вредоносного ПО и выполнение скриптов.
Revenge RAT запускается без файлов в памяти. Она собирает данные с компьютера жертвы и отправляет их на C2 (qcpanel.hackcrack[.]io:9561) в формате Base64-кодировки. Ниже приведены типы похищенных пользовательских данных:
- ПК и имя пользователя
- Системная информация, такая как ОС, процессор и емкость диска.
- Информация о родительском процессе, используемом для выполнения самого себя (Revenge RAT)
- IP-адрес и информация о регионе
- Названия используемых антивирусных и межсетевых продуктов
Indicators of Compromise
Domain Port Combinations
- qcpanel.hackcrack.io:9561
MD5
- 1242c41211464efab297bfa6c374223e
- 304e264473717fad8f7c6970212eaaa7
- 42779ab18cf6367e7b91e621646237d1
- 438817d3938ae5758d94bf2022a44505
- 5e24e97bbc8354e13ee3ab70da2f3af6
- 6d5ad2adce366350200958c37f08a994
- 6e22b450a765caa999ca984521b42242
- 914ec5019485543bb2ec8edcacd662a7
- d1af87e121d55230353cbad9b7024fae
- fb34fe9591ea3074f048feb5b515eb61
