Недавно специалисты FortiGuard Labs наткнулись на файлы, которые выглядели подозрительно даже при беглом просмотре. Расследование подтвердило, что эти файлы являются вредоносными, и показало, что в них есть нечто большее, чем кажется на первый взгляд: это невиданный ранее похититель информации, который мы назвали "ThirdEye". Хотя это вредоносное ПО нельзя назвать сложным, оно предназначено для кражи различной информации со взломанных машин, которая может быть использована как ступенька для будущих атак.
ThirdEye Stealer
Расследование началось, когда FortiGuard заметили архивный файл с именем на русском языке "Табель учета рабочего времени.zip". Этот zip-файл содержит два файла. Оба файла имеют расширение .exe, которому предшествует другое расширение, связанное с документом (двойное расширение). Один из файлов - "CMK Правила оформления больничных листов.pdf.exe". Файл имеет SHA2-хэш-значение f6e6d44137cb5fcee20bcde0a162768dadbb84a09cc680732d9e23ccd2e79494.
ThirdEye infostealer имеет относительно простую функциональность. Он собирает различную системную информацию со взломанных машин, такую как данные BIOS и аппаратного обеспечения. Он также перечисляет файлы и папки, запущенные процессы и сетевую информацию. После запуска вредоносная программа собирает все эти данные и отправляет их на свой командно-контрольный (C2) сервер, расположенный по адресу (hxxp://shlalala[.]ru/general/ch3ckState). И, в отличие от большинства других вредоносных программ, он больше ничего не делает.
Интересной строкой, уникальной для семейства ThirdEye infostealer, является "3rd_eye", которую он расшифровывает и использует вместе с другим хэш-значением для идентификации себя на C2.
Второй элемент в архиве - "Табель учета рабочего времени.xls.exe", который имеет одинаковое имя с родительским файлом. Этот файл является вариантом инфопохитителя ThirdEye, предназначенным для выполнения тех же действий, что и f6e6d44137cb5fcee20bcde0a162768dadbb84a09cc680732d9e23ccd2e79494.
На основе признаков, которые FortiGuard Labs увидели в этих образцах ThirdEye infostealer, удалось отследить самый первый образец 610aff11acce8398f2b35e3742cb46c6a168a781c23a816de2aca471492161b2, который был впервые отправлен в публичную службу сканирования файлов 4 апреля 2023 года. Анализ этого самого старого образца показал, что в нем собрано не так много информации, как в последних образцах. Самый ранний из найденных нами образцов имеет временную метку компиляции Mon Apr 03 12:36:37 2023 GMT и собирает следующие данные:
- клиентский_хэш
- тип ОС
- имя_хоста
- имя пользователя
Он вычисляет "client_hash", который используется в качестве идентификатора. Во время эксфильтрации собранные данные отправляются на сервер C2 с пользовательским заголовком веб-запроса:
| 1 | Cookie: 3rd_eye=[значение клиентского_хэша] |
Данный вариант использует hxxp://glovatickets[.]ru/ch3ckState в качестве C2-сервера.
Значительных изменений в семействе вредоносных программ не произошло до нескольких недель спустя. Вариант (SHA256: A9D98B15C94BB310CDB61440FA2B11D0C7B4AA113702035156CE23F6B6C5EECF) с меткой времени компиляции Wed Apr 26 09:56:55 2023 GMT собирал дополнительные данные, такие как:
- дата выпуска BIOS и производитель
- количество ядер процессора и объем оперативной памяти
- Список файлов на рабочем столе пользователя
- Данные о сетевом интерфейсе
- Список имен пользователей, зарегистрированных на зараженном компьютере.
Однако эта версия аварийно завершала работу некоторых виртуальных машин из-за отсутствия информации об аппаратном обеспечении. Через день был выпущен обновленный вариант (SHA256: C36C4A09BCCDEDA263A33BC87A166DFBAD78C86B0F953FCD57E8CA42752AF2FC). Единственным изменением здесь стало использование значка PDF. До этого ни один из найденных образцов не использовал пользовательский/поддельный значок. "hxxp://ohmycars[.]ru/general/ch3ckState" использовался этим вариантом в качестве C2.
Следующая неделя принесла еще больше изменений. Следующий вариант (SHA256: 847CBE9457B001FAF3C09FDE89EF95F9CA9E1F79C29091C4B5B08C5F5FE48337) собрал гораздо больше данных:
- Общее/свободное дисковое пространство на диске C
- Доменное имя
- Список сетевых портов, которые в настоящее время использует зараженный компьютер
- Список текущих запущенных процессов
- Список установленных программ в каталоге Program_Files
- systemUpTime
- Список пользовательских программ, включая номер версии
- Информация о томе, например, буквы CD-ROM и других дисков
Хотя другой вариант (5D211C47612B98426DD3C8EAC092AC5CE0527BDA09AFA34B9D0F628109E0C796), скомпилированный Thu May 25 11:02:54 2023 GMT, собирал данные того же типа, основное отличие было в кодировке. Вместо обычного текста собранные данные были закодированы в шестнадцатеричном формате. За последние пару месяцев FortiGuard также заметили несколько вариантов, которые использовали внутренние IP-адреса 10[.]10[.]30[.]36 в SHA256: 2008BDD98D3DCB6633357B8D641C97812DF916300222FC815066978090FA078F и 192[. ]168[.]21[.]182 в SHA256: 847CBE9457B001FAF3C09FDE89EF95F9CA9E1F79C29091C4B5B08C5F5FE48337) вместо реального сервера C2. Возможно, это было связано с тестированием новых функций и/или проверкой обнаружения AV.
Indicators of Compromise
URLs
- http://anime-clab.ru/ch3ckState
- http://glovatickets.ru/ch3ckState
- http://ohmycars.ru/general/ch3ckState
- http://shlalala.ru/general/ch3ckState
SHA256
- 0a798b4e7bd4853ec9f0d3d84ad54a8d24170aa765db2591ed3a49e66323742c
- 2008bdd98d3dcb6633357b8d641c97812df916300222fc815066978090fa078f
- 263600712137c1465e0f28e1603b3e8feb9368a37503fa1c9edaaab245c63026
- 3d9aff07e4cb6c943aec7fcd2d845d21d0261f6f8ae1c94aee4abdf4eef5924d
- 5d211c47612b98426dd3c8eac092ac5ce0527bda09afa34b9d0f628109e0c796
- 610aff11acce8398f2b35e3742cb46c6a168a781c23a816de2aca471492161b2
- 847cbe9457b001faf3c09fde89ef95f9ca9e1f79c29091c4b5b08c5f5fe48337
- 9db721fa9ea9cdec98f113b81429db29ea47fb981795694d88959d8a9f1042e6
- a9d98b15c94bb310cdb61440fa2b11d0c7b4aa113702035156ce23f6b6c5eecf
- c36c4a09bccdeda263a33bc87a166dfbad78c86b0f953fcd57e8ca42752af2fc
- f6e6d44137cb5fcee20bcde0a162768dadbb84a09cc680732d9e23ccd2e79494
