vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
С весны 2023 года мы в отделе исследования киберугроз активно наблюдаем за одной любопытной группировкой — PhaseShifters. Мы решили назвать ее так, потому что она меняет свои техники вслед за другим группировками, например UAC-0050 и TA558. А phase shift (в переводе с англ. — «сдвиг фазы»), как известно, — разность между начальными фазами двух величин, изменяющихся во времени периодически с одинаковой частотой.
В своих атаках PhaseShifters не отличаются оригинальностью: используют фишинг от имени официальных лиц с просьбой ознакомиться с документами и их подписать. А эти документы, в свою очередь, защищены паролем и (что предсказуемо) заражены.
В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer — часть этих инструментов мы заметили у UAC-0050. А использованные криптеры были те же, что и у группировок TA558 и Blind Eagle.
Подробнее о том, кто у кого списал, читайте под катом, а полный текст исследования можно найти .
С чего все начиналось
В конце июня 2024 года мы обнаружили архив с названием Копия трудовой.docx.rar. Он распространялся в качестве вложения в письмах различным компаниям на территории России. Архив был защищен паролем, который, предположительно, можно было найти в теле письма.Файл из архива (Копия трудовой.docx.exe) выгружал в систему несколько файлов, один из которых был с провокационным названием putin_***.exe, а также документ-приманку в виде фото паспорта гражданина Республики Беларусь.
Документ-приманка с паспортом
Файл с провокационным названием запускал PowerShell-скрипты, которые получали картинки с загрузчиком ВПО и полезную нагрузку последней стадии из репозиториев Bitbucket.
По первой ссылке (bitbucket[.]org/hgdfhdfgd/test/downloads/new_image[.]jpg?14441723) можно было найти репозиторий с файлами и картинками со стеганографией.
На картинках была пустыня Атакама в Чили.
Изображение с пустыней, скрывающее вредоносный скрипт
Второй Bitbucket-репозиторий (bitbucket[.]org/fasf24124/fdgfytrj/downloads) до сих пор функционирует и хранит 46 файлов с разными названиями, но с одинаковым содержанием.
Репозиторий создан 4 марта 2024 года пользователем с никнеймом siniy34240.
В цепочке атак использовался болгарский С2-сервер, который связан с другими подобными атаками и такими файлами, как:
- ru***.exe
- *pen.exe
- vvp_***.exe
Помимо DarkTrack RAT, в репозиториях находились такие семейства ВПО, как AsyncRAT, RedLine, Remcos, njRAT, XWorm и другие. Такой набор троянов и стилеров использовался и другими группировками, а именно: TA558 и Blind Eagle.
Количество скачиваний у некоторых образцов ВПО превышает 46 000 раз. Такое массовое использование файлов указывает скорее на распространение вредоносов через специализированные сервисы, нежели на активность традиционных APT-группировок.
Один криптер на всех
При поиске схожих элементов в PowerShell-скриптах, а также в BAT- и VBS-файлах мы выделили несколько особенностей обфускации:- Использование обфускации с применением функций SET, GOTO (BAT-файлы) и Call (VBS-файлы).
- Переменная $codigo («код» с португальского или испанского языков) в PowerShell-скрипте, получаемом после деобфускации.
- В последнем PowerShell-скрипте происходило скачивание полезной нагрузки в виде текстового файла, внутри которого находится закодированный в Base64 файл с ВПО.
Понять, что PhaseShifters использовала тот же криптер, что и TA558, также помогли картинки с репозиториев создателей обфусткаторов — они были .
Самая первая картинка (июль 2023 года) с тестовой полезной нагрузкой внутри
Картинка из репозитория (август 2024 года), полезная нагрузка внутри — dnlib
На этом сходства PhaseShifters с другими APT-группировками не заканчиваются
Не Bitbuket-ом единым: пересечения с UAC-0050
UAC-0050 — хакерская группировка, атакующая государственные организации на территории Украины с 2020–2021 годов, а также компании из Польши, Беларуси, Молдовы, стран Балтии и .Ранее мы сказали, что ход атак группировок PhaseShifters и UAC-0050 (отправка фишингового письма и заражение через документ-приманку или архив с паролем) был подозрительно похож.
Более того, в 2023 году UAC-0050 Remote Utilities для атаки на польские и украинские организации, а в январе 2024 года группировка это приложение под легитимный CCleaner. В этой же атаке группировка тоже использовала Bitbucket, но уже для хранения архива.
Точно так же, как UAC-0050, PhaseShifters использовала ВПО, замаскированное под установщик утилиты CCleaner, ! Сам файл был SFX-архивом с обфусцированными AutoIt-скриптами.
Обе группировки использовали AutoIt-скрипты на протяжении примерно полугода, и обе одновременно прекратили их использовать. Интересная особенность этих скриптов заключалась в том, что только три группировки замечены за использованием AutoIt-загрузчика, а именно: PhaseShifters, UAC-0050 и .
Первые атаковали польские организации: PhaseShifters делала это в феврале 2024 года, а UAC-0050 атаковала Польшу в ноябре — декабре 2023 года. Основываясь на сходстве используемых техник фишинга, а также на абсолютно идентичной маскировке ВПО, мы сделали предположение о взаимосвязи этих двух группировок.
Еще больше подозрительно точных сходств
Рассмотрим , который нам удалось создать на основе обнаруженных атак. На схеме белым цветом отображено использование группировкой UAC-0050 некоторых репозиториев из общего списка, желтым — аналогичные связи только со стороны группировки PhaseShifters. Зеленым цветом в представлении графа показан анализ цепочки атаки, а фиолетовым — дополнительная информация.
Как видно из графа, некоторые репозитории используются обеими группировками. И если взаимодействие с картинкой еще можно объяснить покупкой одного и того же криптера, о котором говорилось ранее, то использование одного и того же репозитория с полезной нагрузкой объяснить сложнее. Дело в том, что репозиторий с вредоносным ВПО указывается пользователем в обфускаторах как ссылка на полезную нагрузку. Получается, что обе группировки вручную указали эти ссылки.
А теперь рассмотрим другие атаки группировок PhaseShifters и UAC-0050, в которых также использовался один репозиторий: bitbucket[.]org/sdgw/sdge/downloads/ (более недействителен).
Со стороны группировки UAC-0050 такой репозиторий использовался в цепочке атаки с файлом Копія з позначкою банку.vbs, загружая в качестве полезной нагрузки файл bitbucket.org/sdgw/sdge/downloads/meduza[.]txt, после декодирования Base64 становящийся стилером Meduza.
Группировка PhaseShifters использовала этот репозиторий в цепочке атаки с файлом Проект распоряжения правительства Курской области.pdf.zip. Полезная нагрузка скачивалась по ссылке bitbucket[.]org/sdgw/sdge/downloads/mbFgnhd[.]txt, что является DarkTrack RAT — характерным для них ВПО.
Таким образом, в одном репозитории находились и стилер Meduza, использование которого запрещено правилами теневого форума для атак на российские организации и российских пользователей в целом, и DarkTrack RAT, который был обнаружен в атаках на территории России. Позже, 15 октября 2024 года, вышла с упоминанием этих репозиториев. Странная получается ситуация.
Все точки над i
Мы убедились, что PhaseShifters копирует технику UAC-0050. Кроме того, мы уже в который раз наблюдаем, что это копирование начинается с небольшим промежутком в несколько недель.Может, PhaseShifters — просто искусные подражатели, а может, PhaseShifters и UAC-0050 — это одна и та же группировка, атакующая как Россию, так и Украину. Мы склоняемся ко второму варианту, но не можем утверждать наверняка.
Сетевые индикаторы
Индикатор | Тип индикатора | Назначение |
raw.githubusercontent.com/santomalo/audit/main/img_test.jpg?\d+ | Общий. Картинка из репозитория используется в атаках нескольких группировок | GitHub-репозиторий с картинкой, внутри которой — полезная нагрузка |
bitbucket.org/hgdfhdfgd/test/downloads/new_image.jpg?\d+ | Общий. Картинка из репозитория используется в атаках нескольких группировок | Bitbucket-репозиторий с картинкой, внутри которой — полезная нагрузка с Ande Loader |
bitbucket.org/shieldadas/gsdghjj/downloads/img_test.jpg?\d+ | Общий. Картинка из репозитория используется в атаках нескольких группировок | Bitbucket-репозиторий с картинкой, внутри которой — полезная нагрузка с Ande Loader |
bitbucket.org/rulmerurk/ertertqw/downloads/.*\.txt | Индивидуальный индикатор для PhaseShifters | Bitbucket-репозиторий с закодированной полезной нагрузкой |
bitbucket.org/fasf24124/fdgfytrj/downloads/.*\.txt | Индивидуальный индикатор для PhaseShifters | Bitbucket-репозиторий с закодированной полезной нагрузкой |
bitbucket.org/fwfsfw/fwf/downloads/.*\.txt | Общий индикатор. Репозиторий используется несколькими группировками по всему миру | Bitbucket-репозиторий с закодированной полезной нагрузкой |
bitbucket.org/sdgw/sdge/downloads/.*\.txt | Общий индикатор. Репозиторий используется несколькими группировками по всему миру | Bitbucket-репозиторий с закодированной полезной нагрузкой |
45.143.166.100 | Индивидуальный. Используется только группировкой PhaseShifters | DarkTrack C2 |
94.156.79.57 | DarkTrack C2 |
Матрица MITRE ATT&CK
Reconnaissance | ||
T1135 | Network Share Discovery | Группа PhaseShifters сканировала сетевые папки, доступные через протокол SMB |
Resource Development | ||
T1588.001 | Obtain Capabilities: Malware | Группа PhaseShifters предположительно приобретала криптер или подписку на криптер |
T1608.001 | Stage Capabilities: Upload Malware | Группа PhaseShifters сама или с помощью третьих лиц загружала вредоносное ПО в Bitbucket-репозиторий |
Initial Access | ||
T1566.001 | Phishing: Spearphishing Attachment | Группа PhaseShifters посылала фишинговые письма в различные компании и прикрепляла запрошенные архивы с паролем, который находился в теле письма |
Execution | ||
T1059.001 | Command and Scripting Interpreter: PowerShell | Группа PhaseShifters запускала обфусцированные PowerShell-скрипты |
T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа PhaseShifters запускала обфусцированные файлы с помощью cmd.exe |
T1059.005 | Command and Scripting Interpreter: Visual Basic | Группа PhaseShifters использовала обфусцированные VBS-скрипты |
Persistence | ||
T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Вредоносные файлы группировки PhaseShifters закреплялись в папке Startup |
Defense Evasion | ||
T1027 | Obfuscated Files or Information | Группировка PhaseShifters использовала Base64 для шифрования полезной нагрузки |
T1027.002 | Obfuscated Files or Information: Software Packing | Группировка PhaseShifters использовала UPX и Themida |
T1027.003 | Obfuscated Files or Information: Steganography | Группировка PhaseShifters использовала технику стеганографии в картинках, находящихся в Bitbucket-репозитории |
T1027.010 | Obfuscated Files or Information: Command Obfuscation | Криптер, который использовала группа PhaseShifters, обфусцировал PowerShell-код |
T1036 | Masquerading | Группировка PhaseShifters маскировала EXE-файлы, используя иконки легитимных программ и других расширений |
T1036.007 | Masquerading: Double File Extension | Группировка PhaseShifters маскировала EXE-, DOCX- или LNK-файлы, используя двойные расширения, например .docx.exe |
T1036.008 | Masquerading: Masquerade File Type | На Bitbucket, которые использовала PhaseShifters, вредоносные файлы хранились в закодированном виде с расширением .txt |
T1140 | Deobfuscate/Decode Files or Information | Вредоносное ПО группировки PhaseShifters декодировало полезную нагрузку, полученную в процессе заражения |
T1564.003 | Hide Artifacts: Hidden Window | В криптере, который использовала группировка PhaseShifters, использовался флаг -hidden для сокрытия выполнения PowerShell-скрипта |
Discovery | ||
T1057 | Process Discovery | Группировка PhaseShifters использовала PowerShell-команды для поиска и завершения определенных процессов |
T1012 | Query Registry | Группировка PhaseShifters собирала информацию о реестре |
Command And Control | ||
T1102 | Web Service | Группировка PhaseShifters использовала Bitbucket и GitHub для загрузки вредоносного ПО |
T1105 | Ingress Tool Transfer | Группировка PhaseShifters использовала Ande Loader для загрузки дополнительного вредоносного ПО |
T1571 | Non-Standard Port | Группировка PhaseShifters использовала в атаках нестандартные порты, например 1443 и 49162, для коммуникации через TCP-протокол |
T1132.001 | Data Encoding: Standard Encoding | Группировка PhaseShifters использовала стандартный протокол TLS 1.2, а также закодированные в Base64 строки для шифрования передаваемых данных |
