Компания SentinelLabs отслеживала недавно раскрытый кластер вредоносных документов Office, распространяющих Crimson RAT, используемый группой APT36 (также известной как Transparent Tribe), нацеленной на сектор образования.
Transparent Tribe (APT36) APT
Transparent Tribe - предполагаемая пакистанская группа угроз, действующая как минимум с 2013 года. Группу нельзя назвать очень сложной, однако она представляет собой очень стойкую угрозу, которая постоянно адаптирует свою операционную стратегию. Ранее Transparent Tribe в основном фокусировалась на индийских военных и правительственном персонале, но недавно она расширила сферу своей деятельности, включив в нее образовательные учреждения и студентов на Индийском субконтиненте. Crimson RAT является постоянным компонентом в арсенале вредоносных программ группы, которые противник использует в своих кампаниях.
Названия и содержание документов-приманок, связанные с ними домены и использование Crimson RAT позволяют предположить, что действия, о которых идет речь в этой заметке, являются частью более широкой кампании Transparent Tribe, направленной на сектор образования.
Кроме того, пути PDB некоторых образцов Crimson RAT, которые SentinelLabs проанализировали, содержат слово Wibemax, которое также содержится в путях PDB полезных нагрузок Crimson RAT, замеченных в предыдущей кампании Transparent Tribe.
Wibemax совпадает с названием пакистанской компании по разработке программного обеспечения, но на данный момент SentinelLabs не выявили четкой связи с противником.
Стоит отметить, что существуют высокодостоверные оценки того, что Transparent Tribe использует третьи стороны для поддержки своих операций, например, пакистанского хостинг-провайдера Zain Hosting.
Документы, которые распространяет Transparent Tribe, имеют образовательную тематику и такие названия, как "Задание" или "Задание №10", и указывают даты создания - июль и август 2022 года. Исходя из известного поведения этой группы, SentinelLabs подозревают, что документы были распространены среди целей как вложения в фишинговые электронные письма. В соответствии с известной тактикой Transparent Tribe, SentinelLabs заметили, что некоторые документы были размещены на сервисах хостинга файлов и созданных злоумышленниками доменах, таких как s1.fileditch[.]ch, cloud-drive[.]store и drive-phone[.]online.
Важно отметить, что cloud-drive[.]store и drive-phone[.]online ранее были связаны с деятельностью Transparent Tribe, направленной на сектор образования, и оценены как домены, подготовленные для будущего использования. Кроме того, drive-phone[.]online очень похож на домен phone-drive[.]online, на котором недавно было замечено размещение вредоносного ПО Transparent Tribe, нацеленного на индийских и пакистанских пользователей Android.
Вредоносные документы, которые SentinelLabs проанализировали, запускают Crimson RAT с помощью макросов Microsoft Office или встраивания OLE.
Код макроса выполняется при открытии документов, и его функциональность соответствует известным вариантам макросов Transparent Tribe. Макросы создают и распаковывают встроенный архивный файл в каталоге %ALLUSERSPROFILE% (C:\ProgramData) и выполняют внутри него полезную нагрузку Crimson RAT. Некоторые макросы вставляют в документ текст, который обычно представляет собой образовательный контент, связанный с Индией.
В дополнение к макросам, исследователи заметили, что Transparent Tribe использовали встраивание OLE в качестве техники для постановки Crimson RAT. Вредоносные документы, использующие эту технику, требуют от пользователей двойного щелчка по элементу документа. В документах, распространяемых Transparent Tribe, обычно отображается изображение (графика "Просмотр документа"), указывающее на то, что содержимое документа заблокировано. Это заманивает пользователей дважды щелкнуть на графике для просмотра содержимого, что активирует пакет OLE, который сохраняет и выполняет Crimson RAT, маскирующийся под процесс обновления (MicrosoftUpdate.exe).
Известно, что Transparent Tribe экспериментирует с различными методами инсценировки вредоносного ПО, которые включают распространение исполняемых файлов с внедренными документами или документов, выполняющих определенные загрузчики Crimson RAT. Использование встраивания OLE еще раз подчеркивает, что группа постоянно экспериментирует с методами создания вредоносных программ.
SentinelLabs наблюдали множество реализаций Crimson RAT .NET с датами компиляции между июлем и сентябрем 2022 года. Проанализированные полезные нагрузки Crimson RAT используют домен richa-sharma.ddns[.]net для целей C2 и поддерживают либо 40, либо 65 команд, большинство из которых были задокументированы в предыдущих исследованиях. Возможности Crimson RAT включают сбор системной информации, создание скриншотов, запуск и остановку процессов, а также перечисление файлов и дисков.
Некоторые варианты Crimson RAT лишены отладочной информации, в то время как другие имеют пути PDB, содержащие штамп даты, слово Richa, относящееся к настроенному домену C2, и слово Wibemax. Часть этих путей PDB совпадает с путями PDB полезных нагрузок Crimson RAT, замеченных в предыдущей кампании Transparent Tribe, таких как D:\Projects\Wibemax\WinP\WinP\obj\Debug\WinP.pdb и D:\Projects\Wibemax\Windows RAT\1 Windows 10 Client\Win8P-Sunny\2022-04-15-Win8P Sunny\obj\Debug\FUJIKBattery.pdb.
SentinelLabs наблюдали различные идентификаторы версий Crimson RAT: R.S.8.8, R.S.8.9, R.S.8.1 и R.S.8.6. SentinelLabs предполагаем, что R.S. компоненты идентификаторов могут относиться к настроенному домену C2 (richa-sharma.ddns[.]net), а числовые компоненты могут указывать на номер версии (сборки). Это совпадает с документированным вариантом Crimson RAT с идентификатором S.L.2.2., который использовал домен sunnyleone.hopto[.]org для целей C2.
В качестве меры защиты от анализа варианты Crimson RAT задерживают свое выполнение на определенный период времени, например, на 61, 180 или 241 секунду. Большинство проанализированных нами вариантов Crimson RAT оценивают, выполняются ли они на машине с именем G551JW или DESKTOP-B83U7C5, и устанавливают постоянство путем создания ключа реестра в разделе \SOFTWARE\Microsoft\Windows\CurrentVersion\Run, только если имя машины жертвы отличается. G551JW или DESKTOP-B83U7C5 могут быть именами машин, на которых разработчики Crimson RAT проводили тестовые запуски.
Варианты Crimson RAT реализуют различные техники обфускации разной интенсивности, например, простую деформацию имен функций и динамическое разрешение строк. SentinelLabs наблюдали использование обфускатора Eazfuscator в образце Crimson RAT под названием NewOrleans. Есть основания полагать, что разработчики Crimson RAT исправили процедуру, оценивающую пробный период Eazfuscator, чтобы обеспечить выполнение вредоносной программы после истечения пробного периода.
Поскольку предыдущие варианты Crimson RAT были обфусцированы с помощью Crypto Obfuscator, добавление Eazfuscator к методам обфускации, используемым Transparent Tribe, подчеркивает постоянное обслуживание и развитие RAT.
Indicators of Compromise
Domains
- cloud-drive.store
- drive-phone.online
- richa-sharma.ddns.net
- s1.fileditch.ch
SHA1
- 516db7998e3bf46858352697c1f103ef456f2e8e
- 738d31ceca78ffd053403d3b2bc15847682899a0
- 842f55579db786e46b20f7a7053861170e1c0c5e
- 87e0ea08713a746d53bef7fb04632bfcd6717fa9
- 911226d78918b303df5110704a8c8bb599bcd403
- 973cb3afc7eb47801ff5d2487d2734ada6b4056f
- 9ed39c6a3faab057e6c962f0b2aaab07728c5555
- af6608755e2708335dc80961a9e634f870aecf3c
- e000596ad65b2427d7af3313e5748c2e7f37fba7
- fd46411b315beb36926877e4b021721fcd111d7a