SYS01 Stealer IOCs

Spyware

Начиная с ноября 2022 года, Morphisec отслеживает продвинутый похититель информации, который мы назвали "SYS01 stealer". SYS01 stealer использует приманки и методы загрузки, аналогичные другому похитителю информации, недавно названному группой Bitdefender S1deload, но фактическая полезная нагрузка (похититель) отличается.

SYS01 Stealer

SYS01 stealer атаковал сотрудников критически важной государственной инфраструктуры, производственные компании и другие отрасли. Угрозы, стоящие за этой кампанией, нацелены на бизнес-аккаунты Facebook, используя рекламу Google и поддельные профили Facebook, которые рекламируют такие вещи, как игры, контент для взрослых, взломанное программное обеспечение и т.д., чтобы заманить жертву загрузить вредоносный файл. Атака направлена на кражу конфиденциальной информации, включая данные для входа в систему, файлы cookie, рекламные объявления и информацию о бизнес-аккаунтах Facebook.

Кампания была впервые замечена в мае 2022 года и первоначально была приписана компании Zscaler к операции Ducktail. (Позже выяснилось, что эта атрибуция неверна.) В этом блоге мы исследуем различные методы, используемые для распространения SYS01 stealer.

Злоумышленник продвигает цепочку доставки и включает Rust, Python, PHP и расширенные кодировщики PHP, чтобы успешно обойти поставщиков безопасности в течение последних пяти месяцев.

Атака начинается с того, что жертву заманивают нажать на URL из поддельного профиля Facebook или рекламы, чтобы загрузить ZIP-файл, который выдает себя за приложение, игру, фильм и т. д.

Цепочка заражения делится на две части: загрузчик и установщик Inno-Setup, который сбрасывает конечную полезную нагрузку. Загрузчик обычно представляет собой легитимное приложение C#, подверженное уязвимости боковой загрузки, которое поставляется со скрытым вредоносным файлом библиотеки динамических ссылок (DLL), который в конечном итоге загружается в приложение. Это легитимное приложение загружает программу установки Inno-Setup, которая распаковывается в целое PHP-приложение, содержащее вредоносные скрипты. PHP-скрипты отвечают за кражу и утечку информации. Скрипты закодированы с использованием различных техник, что затрудняет их анализ и обнаружение.

Полезная нагрузка передается различными способами, включая боковую загрузку DLL, исполняемые файлы Rust и Python и многие другие. Все методы в конечном итоге приводят к появлению установщика Inno-Setup, который на следующем этапе загружает и выполняет программу для кражи информации PHP.

эти методы доставки являются репрезентативными примерами. Существует множество других вариаций этих методов с незначительными изменениями.

После запуска программы установки Inno-Setup она выгружает PHP-приложение с дополнительными файлами, обычно в %localappdata\[A-Z]{4}\<номер_версии>. Между различными вариантами этого похитителя информации мы видели следующие файлы, используемые для выполнения вредоносной логики:

  • include.php Отвечает за установку persistence через запланированные задачи
  • index.php Выполняет основную логику действия кражи
  • version.php (встраивается в index.php, если он не существует) Хранит версию
  • rhc.exe Скрывает консольное окно запущенных программ (hidec)
  • rss.txt (в других вариантах имеет другое название) Закодированная в Base64 строка с несколькими заменами строк. После декодирования этот исполняемый файл, написанный на Rust и скомпилированный с помощью Cargo, получает текущую дату и время, а также расшифровывает ключ шифрования браузеров на базе Chromium.

В старых вариантах PHP-скрипты не были обфусцированы каким-либо образом. В более новых вариантах мы заметили коммерческие шифраторы ionCube и Zephir, которые являются самописными расширениями, обфусцирующими PHP-скрипты.

После сброса папки исполняемый файл Inno-Setup выполняет php.exe include.php или передает эту командную строку в качестве аргумента rhc.exe.

include.php регистрирует два запланированных задания:

  • rhc.exe php.exe include.php
  • rhc.exe php.exe index.php

Первая задача запускается при входе в систему. Вторая задача запускается каждые две минуты. Злоумышленник должен знать время, чтобы установить его в запланированной задаче. Для этого он декодирует rss.txt в исполняемый файл, добавляет в конец исполняемого файла uniquid и сбрасывает его в %temp%\tmp\<uniqid>.exe. Если по какой-то причине операция не удалась, этот сценарий получает текущую дату и время, выполняя следующие действия: "wmic os get LocalDateTime /value".

Побочная загрузка DLL - это очень эффективная техника, позволяющая обманом заставить систему Windows загрузить вредоносный код. Библиотеки динамических ссылок обеспечивают более эффективное использование памяти и модульность системы, но поскольку Microsoft по умолчанию не обеспечивает порядок поиска для библиотек DLL, это делает приложения уязвимыми для эксплуатации.

Microsoft не применяет порядок поиска по ряду причин, например, для обеспечения переносимости и обратной совместимости - например, для переносимых приложений браузеров, использующих старые библиотеки Microsoft. Разработчики, заботящиеся о безопасности, могут обеспечить порядок поиска в своем коде. Но большинство разработчиков не заботятся о безопасности.

Это позволяет субъектам угроз размещать вредоносную полезную нагрузку рядом с легитимным приложением. Затем, когда приложение загружается в память, а порядок поиска не соблюдается, приложение загружает вредоносный файл вместо легитимного, что позволяет субъектам угроз перехватывать легитимные, доверенные и даже подписанные приложения для загрузки и выполнения вредоносной полезной нагрузки. Недоброжелатели используют атаки с боковой загрузкой для выполнения, сохранения, повышения привилегий и уклонения от защиты.

Компания Microsoft начала внедрять порядок поиска по умолчанию во многих своих приложениях, пусть и не повсеместно. Но злоумышленники все еще могут злоупотреблять популярными приложениями Microsoft, созданными в предыдущие годы, которые подписаны законным образом. И они будут иметь такую возможность в течение многих лет.

Основные меры по предотвращению SYS01 stealer включают внедрение политики нулевого доверия и ограничение прав пользователей на загрузку и установку программ. А в основе кражи SYS01 лежит кампания социальной инженерии, поэтому важно обучить пользователей приемам, которые используют противники, чтобы они знали, как их распознать.

Но люди непостоянны, и ограничение функциональности устройств не всегда возможно, когда необходимо обеспечить эффективное функционирование бизнеса. Вот почему лучшая защита - это все вышеперечисленное плюс подход "защита в глубину". Такие средства безопасности, как антивирусы нового поколения (NGAV), платформы защиты конечных точек (EPP) и средства обнаружения и реагирования на конечные точки (EDR, XDR и MDR), необходимы, но недостаточны, чтобы остановить таких крадунов, как SYS01 stealer.

Это связано с тем, что средства обнаружения не всегда отмечают доброкачественные исполняемые файлы, используемые для побочной загрузки полезной нагрузки во время доставки и/или выполнения. Кроме того, вредоносные полезные нагрузки иногда шифруются, упаковываются или обфусцируются до загрузки в память во время выполнения, которую средства обнаружения не могут эффективно сканировать.

Indicators of Compromise

Domains

  • baglamanotalari.com
  • caseiden.com
  • craceruib.top
  • graeslavur.com
  • mahinetain.top
  • makananwisata.com
  • oscarnaija.com
  • rapadtrai.com
  • seemlabie.top
  • seleriti.com

SHA256

  • 01f76140374da14b72a8f1e648cb8f46590419cddd56bc089e67f38cee767735
  • 14fe2d1d1df11d887f5c53a78af6e1885928aa9256b79cd365f2c1d39397c2f4
  • 20a1c15d016a2d11659a74ae9e23e57020a4023df4c9f8c0357a38b69eddfa08
  • 25a5422f4a4a1d11b242730adbce06673cefee533da62a8ddef93e0074a3ba75
  • 2c58bfbf8d274434e3307a76a37720d09387978e8e401780048992ea21fd222b
  • 3416982484faefb7b0092cc639039863e52a9aa6ba0a277f943216a398dd0f8b
  • 5698feaacd122f75d69ed1d9a561ab7210051031e821b934b3022d48a185443b
  • 7d64de081057d18b1503854386a351a76caac9d71aada177373ef77b597a4f06
  • 7f54dc5ddab4de19c5ad7c7b6d4398bd07d97504cdedabc398a6d6db52fe9875
  • 804f137c4253241cdcbbe8cd59181f0621cbd26bb8a78163b8bc0461d5f3bafb
  • 833b871f342ba7b0e852363ed123682b99588888f01567e56942889d886bb4b2
  • bad4de1c398954b9c381d91fee52607b78e1c65bd9f38c3e82a307e236a76223
  • c636ed3b0ca558a92687f60f0b37c0e44ff3a6d4f15acd3cfb858fee4b0b0916
  • c81175d56aa006ad140799e39c800306b439ea98b9efc4491c269eccbfeebd4e
  • daba97a67f219443ef4b0a39e2d051179d20de6a2febb927bec4108dcac1b3a6
  • f58b9794f5b973625551333f469878c1df65302733f9a3e9a214e3739cee09bf
Комментарии: 0