Статья Майнер, кейлоггер и бэкдор атакуют организации

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.877
Репутация
11.595
Реакции
61.773
RUB
50
В апреле этого года ФБР опубликовало об атаках, нацеленных на государственные и правоохранительные органы, а также некоммерческие организации.


Злоумышленники загружают на устройства жертв скрипты, доставляющие сразу несколько вредоносных программ разных типов. В частности, атакующие пытаются использовать ресурсы компаний для майнинга, крадут данные с помощью кейлоггеров и получают доступ к системам через бэкдор.

sl-binary-coins-golden-1200x600.jpg


Различные скрипты, исполняемые файлы и ссылки на них, связанные с этой кампанией, мы обнаруживали с конца 2022 года. На момент написания статьи мы продолжали находить новые версии, поэтому угроза для B2B-сектора все еще является актуальной. Ресурсы и данные предприятий остаются под угрозой.

Исследуя индикаторы компрометации, указанные в апрельском отчете, мы обнаружили в нашей телеметрии за август этого года неопубликованные ранее вредоносные скрипты, которые пытаются манипулировать Защитником Windows ( runxm1.cmd и start.cmd). По косвенным признакам мы можем предполагать, что скрипты попадают в инфраструктуру компаний в основном в результате эксплуатации уязвимостей на серверах и рабочих станциях.

Сначала скрипт start.cmd пытается отключить защиту через реестр:


Отключение Защитника Windows в скрипте start.cmd

Если это удается, скрипт runxm1.cmd пытается занести несколько файлов в исключения. Эти файлы используются на разных этапах атаки, и подробнее мы расскажем о них ниже.


Добавление файлов в исключения Windows Defender

Также этот скрипт получает права администратора и переименовывает папки известных ему защитных решений, чтобы помешать их запуску на зараженном устройстве:


Переименование защитных решений

Затем оба скрипта обращаются к домену, на котором расположена некая платформа, показывающая курс криптовалют в реальном времени (в настоящее время домен недоступен):



С этого домена скрипты пытаются скачать различные исполняемые и конфигурационные файлы:

Загрузка файлов

Скрипт start.cmd впоследствии пытается запустить RtkAudio.exe, используя содержимое config.txt для конфигурации:


Запуск файла RtkAudio.exe с config.txt в качестве аргумента

Заглянув внутрь файла конфигурации, можно сразу понять, что он относится к майнеру. В данном случае злоумышленники хотят использовать зараженное устройство для генерации криптовалюты Monero (XMR):


Содержимое файла config.txt

Посмотрев на строки файла, которому передается конфигурация, мы убеждаемся, что это действительно майнер:



Посмотрим, фигурируют ли другие скачанные файлы в коде start.cmd. Мы видим, что путь до View.exe присваивается в качестве значения переменной PlayMusic:


Переменная PlayMusic

В дальнейшем, убедившись, что View.exe присутствует в системе и является исполняемым файлом, start.cmd обращается к этой переменной и скрытно запускает файл:


Запуск View.exe

Запустив View.exe вручную на виртуальной машине, мы увидели, что он сохраняет несколько файлов по пути C:\Users\Public. Среди них есть копии IntelSvc и RtkAudio, а также некоторые другие исполняемые файлы:


Файлы, сохраненные View.exe

Открыв в IDA один из них, а именно Systemfont.exe, мы убедились, что он отслеживает нажатия клавиатуры и имеет типичную структуру кейлоггера:

Код и структура файла Systemfont.exe

Запустив Systemfont.exe на виртуальной машине отдельно от остальных файлов, создадим новый текстовый документ и что-нибудь напишем:



В папке, где находится исполняемый файл, сразу появляется архив tempfont.rar:



Если открыть этот архив в HEX-редакторе, можно увидеть всю последовательность нажатых нами клавиш на клавиатуре и кнопок мыши:



Теперь рассмотрим более подробно IntelSvc.exe, который также запускается при помощи start.cmd. После старта он примерно раз в минуту делает запрос к C2 и перезаписывает файл log.json в ожидании команд. Такое поведение типично для бэкдора.


Активность IntelSvc.exe

В файле log.json содержатся аргументы для конфигурации дальнейшей работы бэкдора:

Содержимое файла log.json

Открыв IntelSvc.exe в IDA, мы можем увидеть команды, которые он способен выполнять:


Команды, которые может выполнять IntelSvc.exe

Также этот исполняемый файл создает папку для размещения файлов конфигурации и логов:



Среди файлов в этой папке интерес представляет web.ttf, который содержит IP-адрес C2-сервера:


Содержимое файла web.ttf

Статистика и цели​

С мая 2023 года мы обнаружили более 10 000 атак на более 200 пользователей по всему миру. Атаки нацелены на B2B-сектор, среди потенциальных жертв присутствуют как крупные предприятия, так и SMB, работающие в различных сферах, в том числе государственные органы, сельскохозяйственные организации и компании, занимающиеся оптовой и розничной торговлей. Согласно собранной статистике, чаще всего описанные выше угрозы встречались в следующих странах:

  • Россия
  • Саудовская Аравия
  • Вьетнам
  • Бразилия
  • Румыния
При этом отдельные атаки наши решения обнаружили в США, Индии, Марокко и Греции.

Заключение​

B2B-сектор по-прежнему привлекает злоумышленников, и при успешных атаках они пытаются использовать его ресурсы для обогащения всеми возможными способами. Даже если заражение майнерами кажется вам незначительной проблемой, стоит иметь в виду, что если атакующие смогли загрузить в инфраструктуру компании майнер, они смогут загрузить и более опасное ПО.

Кампания, описанная в этой статье, яркая тому иллюстрация: помимо программы для генерации криптовалюты атакующие загружают на устройства жертв кейлоггер, способный красть пароли и любую другую информацию, вводимую с клавиатуры, а также бэкдор. Чтобы защититься от подобных угроз, компаниям необходимо постоянно улучшать и обновлять свои системы безопасности, ведь атакующие регулярно дорабатывают и совершенствуют свои инструменты, системы и навыки в попытках пробить защиту предприятия.

 
  • Теги
    бэкдор кейлоггер майнер
  • Сверху Снизу