AveMaria RAT

AveMaria - это троянская программа удаленного доступа (RAT) с функцией удаленного управления, которая получает команды с C&C-сервера и выполняет различные вредоносные действия.

Вредоносная программа AveMaria распространяется через спам по электронной почте, подобно вредоносным программам AgentTesla, Lokibot и Formbook. Кроме того, она упакована и распространяется в форме .NET, чтобы обойти обнаружение. Поэтому имена файлов, о которых сообщается, мало чем отличаются от имен других вредоносных программ, распространяемых через спам-письма.

Распространение AveMaria через спам-письма

Спам-почта, используемая для распространения AveMaria, имеет 2 zip-файла: .7z файл и .zip файл.

RFQ-PO-005668657-08-4-20-Order_Sample,xlxs.7z
RFQ-PO-005668657-08-4-20-Order_Sample,xlxs.zip

Все эти архивные файлы содержат один и тот же exe-файл: AveMaria malware.

RFQ-PO-005668657-08-4-20-Order_Sample,xlxs.exe

Когда пользователь извлекает архивный файл и ошибочно запускает его, думая, что это файл .xlsx, запускается вредоносная программа AveMaria. Ниже перечислены функции, которые может выполнять эта вредоносная программа, получая команды от злоумышленника:

• злоумышленник может назначить опцию при создании AveMaria, и различные функции могут быть активированы на основе установленных опций.
• использование зараженного ПК в качестве прокси-сервера. Это означает, что когда эта функция включена, внешнее подключение и вредоносное поведение с сервера C&C осуществляется через зараженный ПК. Причем внешне это поведение признается поведением зараженного ПК, а не оригинального злоумышленника, так как вместо IP реального злоумышленника показывается IP зараженного ПК.
• когда вредоносная программа запускается впервые, но не имеет прав администратора, используется техника обхода UAC для повышения прав вредоносной программы до уровня администратора. AveMaria использует 2 метода обхода UAC, и один из них - использование уязвимости DLL Hijacking в Dism.exe. Эта функция использует вредоносное ПО, сохраненное с именем WM_DSP в разделе ресурсов. Если среда зараженного ПК - Windows 10, используется другая техника обхода UAC. При назначении каталога вредоносного ПО следующему реестру и запуске программы Auto Elevate sdclt.exe обращается к ключу и запускает AveMaria через control.exe. Этот метод злоупотребляет тем, что ключ является ключом реестра HKCU, который программа Auto Elevate может изменять без разрешения администратора.

Кража информации об учетной записи

Старая версия AveMaria использовала для кражи информации такие браузеры, как Chrome, Firefox, IE и Edge, а также программы почтовых клиентов, такие как Outlook, Thunderbird и Foxmail.

Для Chrome, подобно vncdll, он загружает sqlite3.dll в память, берет адреса функций, которые DLL экспортирует, использует функции этих функций (те же, что и sqlite3.dll) и извлекает информацию об учетной записи.

В случае старых версий IE и Edge вредоносная программа загружает vaultcli.dll и извлекает информацию об учетной записи с помощью функций экспорта из DLL. Для Firefox и Thunderbird вредоносная программа загружает nss3.dll, msvcr120.dll, msvcp120.dll, mozglue.dll, softokn3.dll и vcruntime140.dll, которые существуют в папке установки, и использует необходимые функции для извлечения информации об учетной записи. Если таких функций нет, то вредоносная программа может загрузить их извне.

В новой версии AveMaria в качестве целей для похищения информации были добавлены другие веб-браузеры, такие как Opera, Chromium и QQ Browser.

Indicators of Compromise

IPv4

• 2.56.56.88
• 2.56.57.85
• 5.2.68.67
• 31.210.20.231

MD5

• 088d34bc9ef5ab6a3b197bd054bf5696
• 0e362e7005823d0bec3719b902ed6d62
• 22c8bc2620add8a2422d57a105a48b4d
• 40578ef8f2a73e24682cd6ab6d93c8d9
• 6b30d0ba2a384599da807085bc625171
• b2855db288971eeb960319a19a22157b
• cb255a4d370becb06f81e3d3b7c77565
• da55a7aed2f65d6104e1a79ee067cc00
• e90d5af6352dcdc9ce7debc3a7b4334f
• f2997aee0f9ebaf429499c1e74e30e85

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые AveMaria.