На связи вновь команда киберразведки экспертного центра безопасности Positive Technologies и мы с новым расследованием, которое... как любое, наверно, детективное дело имеет свои предпосылки и всевозможные зацепки. Речь пойдет о группировке PhantomCore и ее темном прошлом, тайны которого мы извлекли на свет...
Напоминание из настоящего
В июне мы написали про варианты так называемых Exchange-кейлоггеров. И в этом же исследовании было упомянуто несколько кейлоггеров с отправкой собранных данных на сервер злоумышленников. Среди них был один, который отправлял данные на browser.anaiytics.org через заголовки запросов.
Рисунок 1. Обнаруженный кейлоггер с внешним логированием
Чуть позднее, примерно через неделю, был обнаружен идентичный кейлоггер, отличающийся от первого только внешним сервером.
Рисунок 2. Exchange-кейлоггер с новым сервером
Оба сервера скрыты за сервисом Cloudflare, поэтому настоящий IP-адрес получить не так просто. Однако для одного из серверов это сделать получилось. Дело в том, что при переходе на вредоносный домен без нужных заголовков выдается ошибка 403 со следующим телом ответа.
{"detail":"Missing required headers"}
Благодаря поиску в системах сетевой разведки удалось установить несколько IP-адресов, которые потенциально относятся к вышеуказанным доменам:
- 45.87.245.19 (неактивен в системах с марта)
- 91.239.148.213 (активен на данный момент)
На обоих серверах с указанными IP-адресами было развернуто Django-приложение с использованием Uvicorn в качестве ASGI-сервера. При обращении на 80 порт они возвращали идентичный ответ.
Шаг в машину времени
Среди других особенностей сетевой инфраструктуры нужно выделить WHOIS-информацию о домене browser.anaiytics.org.
Рисунок 3. Данные о вредоносном домене в PT TIP
На основе этих данных (имя и фамилия или почта) были получены другие домены:
- voen-pravoru.online
- bi-zone.com
- voen-pravo.online
Рисунок 4. Данные о других зарегистрированных доменах
С доменом voen-pravo.online связана ссылка на скачивание архива CalculatorVyplatSetup_1.0.6.zip. Ссылка фигурировала на фишинговой странице домена дискусс.рф, которая была скопирована с официального сайта «Правового уголка офицера» (voen-pravo.ru).
Рисунок 5. Вредоносная ссылка на скопированном сайте
Поиск следов в прошлом
Сам архив защищен паролем 123213 и содержит единственный бинарный установщик со следующими файлами.
Рисунок 6. Набор устанавливаемых компонентов
Приложение написано с использованием фреймворка Qt, собрано в декабре 2024 года и имеет пользовательский интерфейс, мимикрирующий под калькулятор выплат.
Рисунок 7. Интерфейс калькулятора выплат
Самое интересное устанавливается на заднем плане — сервис UpdateService, запускаемый в автоматическом режиме.
sc create "UpdaterService" binpath= "C:Program Files (x86)CalculatorVyplatUpdaterService.exe" start= auto
Сервис использует библиотеку Qt и создает объект таймера, который каждые 2 минуты взаимодействует с С2-сервером следующим образом:
- Формирует JSON-файл с идентификационными данными зараженного узла (это USERDOMAIN и сгенерированный случайный 36-символьный UUID) и POST-запросом отправляет его на C2-сервер http://185.130.251.252/ping . Получив ответ от сервера, выводит его в консоль: resive:
<serv_reply>. Ответ может содержать:
§ none — продолжить опрашивать C2-сервер в цикле
§ install <filename>
- Выполняет POST-запрос, в параметрах которого содержится UUID, к URL http://185.130.251.252/starter , ожидая получить в ответ URL для дальнейшего скачивания полезной нагрузки.
- Скачивает файл с адреса <url>/<filename> и сохраняет его в одну из следующих папок:
§ %APPDATA%MicrosoftWindows (если есть права на запись)
§ C:UsersPublic
- Запускает полученный вредоносный модуль и отправляет GET-запрос с UUID по ссылке http://185.130.251.252/finisher .
Помимо этого, обнаружено несколько особенностей данного загрузчика:
- Собран в режиме отладки. Выводит строки в консоль и в отдельный файл service_log.txt. Формат сообщений в файле следующий: YYYY-MM-DD HH:MM:SS:MMMt<log_message>.
- Большинство строк зашифровано с применением циклического XOR на уникальном ключе длиной 8 байт.
- Имеет команду help (список команд — ниже).
Рисунок 8. Help-информация вредоносного сервиса
- В приложении калькулятора выплат обнаружена ссылка на Telegram-канал, последняя активность была в мае 2024 года. В описании указан ненастоящий аккаунт практикующего адвоката.
Рисунок 9. Telegram-канал из вредоносного ПО
Исходя из даты создания файла и логики работы загрузчика мы пришли к выводу, что это PhantomDL v.3. Таким образом, удалось подтвердить, что это вредоносное ПО с высокой вероятностью относится к группировке PhantomCore. Значит, WHOIS-информация, найденная на доменах ранее, также принадлежит ей, как и Exchange-кейлоггеры с отправкой данных в HTTP-заголовках.
Последствия прыжка во времени. Жертвы кейлоггеров
За последние месяцы выявлено 10 жертв, на серверах которых находится ранее рассмотренный Exchange-кейлоггер. Все жертвы — компании на территории России, занимающиеся либо IT-консалтингом, либо разработкой IT-решений. Количество учетных записей, собранных с систем жертв, превышает 5000.
P. S. Прыжок во времени — малая часть нашего большого исследования группировки PhantomCore. О находках расскажем совсем скоро.
Рекомендации по обнаружению и защите
- Провести контроль целостности и анализ файлов, связанных с аутентификацией пользователей, например C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauthlogon.aspx.
- Просканировать папки Microsoft Exchange Server (в частности, /owa/auth/) YARA-правилами на веб-шеллы и подозрительные страницы и вручную проанализировать обнаруженные файлы на предмет вредоносного кода. Подборки таких правил можно найти в публичном доступе.
Индикаторы компрометации
Сетевые индикаторы
IP-адрес / домен |
Назначение |
| meet.ibs.events | C2-сервер для кейлоггера |
| browser.anaiytics.org | C2-сервер для кейлоггера |
| 91.239.148.213 | C2-сервер для кейлоггера (browser.anaiytics.org) |
| voen-pravoru.online | opendir для распространения ВПО |
| voen-pravo.online | opendir для распространения ВПО |
| bi-zone.com | opendir для распространения ВПО |
| дискусс.рф | Фишинговая страница |
| fame-nodes.ru | Связанный домен |
| famesborka.ru | Связанный домен |
| aezis.ru | Связанный домен |
| aventrix.ru | Связанный домен |
| hostmc.ru | Связанный домен |
| examplehost.ru | Связанный домен |
| loot-craft.ru | Связанный домен |
| ркнс.рф | Связанный домен |
| кино-музыка.рф | Связанный домен |
Файловые индикаторы
| Имя файла | MD5 | SHA-1 | SHA-256 |
| CalculatorVyplatSetup_1.0.6.zip | 3fcbc0ffc1f860a98f5b00d007b701c6 | 7ddd66dbcb3dd6fd74e14fc04676b44e1ff149d2 | 06ae2986402f0cb9ca03e4b1d9d09430d32aaccda8b016d3e6801bef3fb1f8b4 |
