SquirrelWaffle - это дроппер, распространяющий Qbot и Cobalt Strike, а также другие семейства вредоносных программ. Он использует вредоносные документы, входящие в состав скомпрометированных электронных писем, для передачи полезной нагрузки второго уровня на пораженные устройства.
Что такое вредоносная программа SquirrelWaffle?
Обнаруженный в сентябре 2021 года, SquirrelWaffle представляет собой штамм вредоносного ПО типа loader/dropper, предназначенного для заражения систем вредоносными полезными нагрузками. Специалисты по безопасности предполагают, что он появился как замена Emotet после того, как правоохранительные органы ликвидировали печально известный ботнет. Пока неясно, та же ли группа ответственна за эту новую угрозу, или же другая команда решила воспользоваться пустотой, оставленной печально известной вредоносной программой.
Полезная нагрузка Squirrelwaffle, PE DLL, попадает в зараженные системы и выполняется с помощью rundll32.exe или regsvr32.exe, в зависимости от того, какой maldoc инициирует процесс заражения. Например, полезная нагрузка может быть выполнена с помощью rundll32.exe со следующим синтаксисом: cmd.exe /c rundll32.exe C:\ProgramData[DLL FILENAME],ldr.
Функционируя в первую очередь как загрузчик вредоносного ПО, DLL позволяет развертывать дополнительные вредоносные программы, причем установки Qbot и Cobalt Strike часто наблюдаются после первоначальной компрометации. DLL содержит в своей конфигурации блокирующий список IP-адресов для дальнейшего обхода автоматизированных аналитических платформ и исследовательских организаций по безопасности.
Одна из функций DLL включает кодирование и декодирование информации для обеспечения связи между системой жертвы и инфраструктурой C2. Вредоносная программа взаимодействует с C2 через HTTP POST-запросы, содержащие обфусцированные данные, которые подвергаются XOR-обфускации и Base64-кодированию.
URL, используемый для связи жертвы и С2, состоит из случайной буквенно-цифровой строки и IP-адреса жертвы. Тело запроса HTTP POST содержит информацию о системе жертвы, такую как конфигурация %APPDATA%, имя хоста, имя пользователя и конфигурация рабочей станции.
Сервер C2 отвечает кодом состояния и ранее отправленной информацией маяка, замаскированной тем же методом. Этот канал C2 может также доставлять вторичную полезную нагрузку по усмотрению злоумышленника.
Стоит также отметить, что для распространения файлов злоумышленники используют взломанные веб-серверы, в основном под управлением WordPress 5.8.1, и устанавливают скрипты "антибот", чтобы избежать обнаружения white-hat.
Выполнение вредоносной программы SquirrelWaffle
Чтобы быть как можно более незаметным, поток выполнения Squirrelwaffle прост. Загрузчик часто проникает в системы после того, как пользователь открывает вредоносный документ. Затем загружается полезная нагрузка, и он начинает выполнение. В активном состоянии Squirrelwaffle соединяется с командно-контрольным сервером для загрузки следующей полезной нагрузки.
Распространение вредоносной программы SquirrelWaffle
SquirrelWaffle распространяется в основном через вредоносные документы в фишинговых кампаниях, часто используя для распространения атаки с украденной цепочкой ответов. Этот метод предполагает захват существующей учетной записи для отправки фишинговых писем, а не фабрикацию учетной записи или создание новой.
Эта техника может похвастаться высоким процентом успеха, поскольку против нее сложно защититься. Получив доступ к истории электронной почты, противники могут создавать убедительные сообщения и продолжать существующий разговор. В результате остается мало заметных признаков фишинга. Исследователи отмечают, что электронные письма, распространяемые SquirrelWaffle, хорошо составлены, и злоумышленники умело имитируют стиль предыдущей переписки, независимо от языка.
Хотя вредоносная программа в основном нацелена на англоговорящих пользователей, были также обнаружены кампании на французском, немецком, голландском и польском языках, хотя на момент написания статьи они составляли менее 30% от общего объема.
Вредоносные электронные письма обычно содержат гиперссылки на зараженные ZIP-архивы, размещенные на контролируемых злоумышленниками серверах. Эти письма обычно содержат вредоносное вложение в формате .doc или .xls, которое при открытии запускает выполнение кода, извлекающего вредоносное ПО.
Злоумышленники подделывают платформу подписи DocuSign, убеждая получателей включить макросы в пакете MS Office. Встроенный код использует инверсию строк для обфускации, создает VBS-сценарий в %PROGRAMDATA%, а затем выполняет его.
Этот процесс извлекает Squirrelwaffle из одного из пяти жестко закодированных URL-адресов и доставляет его в виде DLL-файла на взломанную систему. Впоследствии загрузчик Squirrelwaffle развертывает вредоносное ПО, такое как Qakbot или часто ошибочно используемый инструмент тестирования на проникновение Cobalt Strike.
Заключение
После того, как Emotet был уничтожен, было неизбежно, что угрожающие субъекты придумают ему замену. Возможно, еще рано объявлять SquirrelWaffle окончательной заменой, но он обладает фундаментальными характеристиками, необходимыми для того, чтобы стать следующим выдающимся дроппером и занять роль Emotet.