В последнее время появились случаи, указывающие на возобновление распространения вредоносного ПО SparkRAT через установщик той же VPN-компании. Распространение вредоносного ПО прекратилось на некоторое время, но схожий поток атак и использование SparkRAT в процессе атаки наводят на мысль о причастности одного и того же субъекта угрозы.
SparkRAT
В этой заметке мы рассмотрим недавние случаи атак, подчеркнув различия между ними и прошлыми инцидентами. Различия включают использование дроппера, разработанного на GoLang, вместо упаковщика, разработанного на .NET, и то, как MeshAgent из MeshCentral был установлен для дополнительных функций удаленного рабочего стола.
Первоначальный способ распространения, по-видимому, был таким же, как и раньше, поскольку агент угроз атаковал веб-сайт компании VPN и заменил установочный файл вредоносным ПО. В результате, когда пользователи скачивают и запускают установочный файл VPN, они непреднамеренно устанавливают вредоносное ПО вместе с собственно программой установки VPN.
Ниже приведена блок-схема процесса установки вредоносного ПО. Сначала SparkRAT загружается загрузчиком, который был создан вредоносным установщиком. Затем агент угрозы отправляет вредоносные команды SparkRAT, чтобы также установить MeshAgent на зараженную систему. Затем установленный MeshAgent подключается к странице удаленного управления и регистрируется в качестве управляемого агента. Угрожающий агент получает возможность управлять устройствами, зарегистрированными на общедоступном сервере MeshCentral.
Заметным отличием от предыдущих атак является использование в большинстве случаев вредоносного ПО, разработанного на языке GoLang, а не .NET. Угрожающий агент использовал дропперы и загрузчики, разработанные на GoLang, на протяжении всего процесса атаки. Поскольку к ним относится и SparkRAT, это означает, что все вредоносные программы, использованные в атаке, были основаны на GoLang.
Замаскированный установщик и вредоносная программа, устанавливающая MeshAgent, - это два дроппера, использованные в атаках, и, хотя они оба являются обфусцированными вредоносными программами GoLang, они имеют схожие формы. После выполнения вредоносные программы в PE создаются и выполняются. Замаскированная программа установки включает функцию, которая позволяет ей зарегистрировать дополнительно созданный файл "start.exe" в планировщике задач.
| 1 | schtasks.exe /Create /ru SYSTEM /f /SC ONLOGON /rl highest /tn "system update" /tr [%LOCALAPPDATA%]/start.exe |
"start.exe" - это загрузчик, который также был разработан на GoLang. Он не обфусцирован и в основном отвечает за загрузку и выполнение дополнительного вредоносного ПО из внешнего источника. Как и в предыдущих случаях атаки, SparkRAT загружается с указанного адреса.
SparkRAT, используемый в атаке, представляет собой вредоносную программу RAT, разработанную на языке GoLang и обеспечивающую такие базовые функции, как выполнение команд, кража информации и контроль над процессами и файлами. Кроме того, его отличительной особенностью является поддержка не только Windows, но и Linux и MacOS.
Угрожающий агент использовал SparkRAT для передачи команд PowerShell и установки MeshAgent. Дроппер предоставляет аргумент "-fullinstall" для выполнения MeshAgent, чтобы он мог установиться в фоновом режиме без ведома пользователя.
Как правило, субъекты угроз склонны устанавливать дополнительные вредоносные программы или программное обеспечение, поддерживающее удаленный рабочий стол, даже после установки бэкдора. Скорее всего, это связано с тем, что при выполнении дополнительных вредоносных действий удобнее использовать графический интерфейс, чем CLI. Таким образом, большинство троянских программ удаленного доступа (RAT), распространяемых в последнее время, поддерживают функции удаленного рабочего стола, такие как VNC и RDP.
Хотя SparkRAT классифицируется как RAT, он еще не поддерживает функции удаленного рабочего стола, поскольку является относительно новой вредоносной программой. Угрожающий агент может выполнять вредоносные команды, собирать информацию и загружать дополнительные полезные нагрузки с помощью установленного SparkRAT, но только после получения контроля. В связи с этим, похоже, что для преодоления этого ограничения угрожающий агент также устанавливает MeshAgent.
MeshCentral - это бесплатный инструмент управления с открытым исходным кодом, который обеспечивает возможность удаленного управления. MeshAgent, предоставляемый MeshCentral, предлагает различные команды управления системой, такие как выполнение команд и загрузка файлов, а также функции удаленного рабочего стола, такие как VNC и RDP. Хотя обычные пользователи используют эти возможности для удаленного управления своими системами, эти функции также могут быть использованы в злонамеренных целях.
Примечательной особенностью MeshCentral является то, что он поддерживает различные архитектуры. Пользователи или субъекты угроз могут выбрать MeshAgent, соответствующий их архитектуре, на сервере MeshCentral, чтобы получить команды установки или загрузить установочные файлы.
При выполнении команды установки или запуске загруженного установочного файла MeshAgent подключается к серверу MeshCentral и регистрирует запущенную систему как систему, которой необходимо управлять. Другими словами, если агент угрозы запускает загруженный MeshAgent на целевой системе, зараженная система становится управляемой.
MeshAgent передает основную информацию о системе, необходимую для удаленного управления, и предоставляет такие функции, как управление питанием, управление учетными записями, всплывающие окна чата или сообщений, загрузка/выгрузка файлов и выполнение команд. Кроме того, он поддерживает функции удаленного рабочего стола, в частности, веб-поддержку таких функций удаленного рабочего стола, как RDP и VNC. Эти характеристики можно назвать преимуществами для субъектов угроз при использовании MeshAgent для управления зараженными системами. Преимуществом также является возможность использования MeshAgent после простой аутентификации по электронной почте.
Кроме того, когда MeshAgent загружается с сервера MeshCentral, область подписи в конце загруженного файла содержит информацию о конфигурации, установленной для пользователя. При установке по пути "%PROGRAMFILES%\Mesh Agent" MeshAgent создает файл конфигурации по тому же пути с именем "MeshAgent.msh". Этот файл содержит информацию о конфигурации, которая была внутри файла MeshAgent.
| 1 2 3 4 5 | MeshName=ad MeshType=2 MeshID=0x50E8FD710C689DA3BC4019B7450F43FDFCF21AEDEB7690D5DFD07F74EE0A4E780EEB5D09831D6664E34838AAD12EECE0 ServerID=BEC956642E30BE68AB6B3ED2F40F4E784CBA349DE3EB7E116F5B22319425FB4FE4C5A6831A5CE5524C569F6F42190B24 … |
Indicators of Compromise
Domain Port Combinations
- aggbvdfbbafdg.moeuda.link:443
URLs
- http://54.180.27.29/cc/himart/api/kodbox-main/gr.png
- http://54.180.27.29/cc/himart/api/kodbox-main/ms-update.exe
MD5
- 0574f906b97f2e74ae49b6e900b5c60d
- 15d24570f3844987acce866d6541ba21
- 162e17324f63f2e1d2c32f7c842b3917
- 4a9369fcff5e934ab644c9aca6e42532
- 8fce3a48d46b9c3d252806e7292647e6
