Первоначальный источник: Microsoft Security Threat Intelligence.
За последние несколько лет рынок криптовалют значительно расширился, завоевав интерес инвесторов и субъектов угроз. Криптовалюта сама по себе использовалась киберпреступниками для своих операций, в частности, для выплаты выкупа в атаках программ-вымогателей, но мы также наблюдали, как злоумышленники напрямую нападали на организации в индустрии криптовалют с целью получения финансовой выгоды. Атаки, нацеленные на этот рынок, принимали различные формы, включая мошенничество, эксплуатацию уязвимостей, поддельные приложения и использование похитителей информации, поскольку злоумышленники пытаются заполучить криптовалютные средства.
Мы также наблюдаем более сложные атаки, в которых злоумышленник демонстрирует большие знания и подготовку, предпринимая шаги, чтобы завоевать доверие своей цели, прежде чем развертывать полезные нагрузки. Например, Microsoft недавно расследовала атаку, в ходе которой злоумышленник, отслеживаемый как DEV-0139, воспользовался чат-группами Telegram для нападения на компании, инвестирующие в криптовалюту. DEV-0139 присоединился к группам Telegram, используемым для облегчения общения между VIP-клиентами и платформами обмена криптовалютами, и определил свою цель среди участников. Злоумышленник выдавал себя за представителей другой криптовалютной инвестиционной компании, а в октябре 2022 года пригласил жертву в другую чат-группу и сделал вид, что просит оставить отзыв о структуре комиссий, используемой платформами обмена криптовалют. Злоумышленник обладал более широкими знаниями об этой конкретной части отрасли, что указывает на то, что он был хорошо подготовлен и осведомлен о текущих проблемах, с которыми могут столкнуться целевые компании.
Завоевав доверие цели, DEV-0139 затем отправил файл Excel с именем OKX Binance & Huobi VIP Fee Comparision.xls, который содержал несколько таблиц о структурах комиссий среди компаний по обмену криптовалютой. Данные в документе, вероятно, были точными, чтобы повысить их достоверность. Этот вооруженный файл Excel инициирует следующую серию действий:
Вредоносный макрос в файле Excel, являющемся оружием, злоупотребляет пользовательской формой VBA, чтобы запутать код и получить некоторые данные.
Вредоносный макрос удаляет еще один лист Excel, встроенный в форму, и выполняет его в невидимом режиме. Указанный лист Excel закодирован в base64 и помещен в C:\ProgramData\Microsoft Media\ с именем VSDB688.tmp.
Файл VSDB688.tmp загружает PNG-файл, содержащий три исполняемых файла: законный файл Windows с именем logagent.exe, вредоносную версию DLL wsock32.dll и бэкдор, закодированный XOR.
Файл logagent.exe используется для загрузки вредоносного wsock32.dll, который действует как прокси-сервер DLL для законного wsock32.dll. Вредоносный файл DLL используется для загрузки и расшифровки бэкдора с кодировкой XOR, который позволяет злоумышленнику удаленно получить доступ к зараженной системе.
Рисунок 1. Обзор атаки
Дальнейшее расследование с помощью нашей телеметрии привело к обнаружению еще одного файла, который использует ту же технику проксирования DLL. Но вместо вредоносного файла Excel он поставляется в пакете MSI для приложения CryptoDashboardV2, датированном июнем 2022 года. Это может указывать на то, что другие связанные кампании также проводятся тем же злоумышленником и с использованием тех же методов.
В этом сообщении блога мы представим детали, обнаруженные в ходе расследования атаки на криптовалютную инвестиционную компанию, а также анализ связанных файлов, чтобы помочь аналогичным организациям понять такого рода угрозу и подготовиться к возможным атакам. Исследователи из Volexity также недавно опубликовали свои выводы по поводу этой атаки.
Как и в случае с любой наблюдаемой деятельностью государственных субъектов, Microsoft напрямую уведомляет клиентов, которые подверглись нападению или компрометации, предоставляя им информацию, необходимую для защиты их учетных записей. Microsoft использует обозначения DEV-#### в качестве временного имени, присваиваемого неизвестному, возникающему или развивающемуся кластеру активности угроз, что позволяет Центру анализа угроз Microsoft (MSTIC) отслеживать его как уникальный набор информации, пока мы не достигнем высокого уровня. уверенность в происхождении или личности действующего лица, стоящего за деятельностью. Как только DEV соответствует критериям, он преобразуется в именованный актер.
Первоначальный компромисс
Чтобы определить цели, злоумышленник разыскал членов криптовалютных инвестиционных групп в Telegram. В ходе конкретной атаки DEV-0139 связался со своей целью 19 октября 2022 года, создав дополнительную группу Telegram с названием <NameOfTheTargetedCompany> <> OKX Fee Adjustment и пригласив трех сотрудников. Злоумышленник создал фейковые профили, используя данные сотрудников компании OKX. На скриншоте ниже показаны реальные и вредоносные учетные записи двух пользователей, присутствующих в группе.
Рисунок 2. Легитимные профили сотрудников криптовалютной биржи (слева) и фейковые профили, созданные злоумышленником (справа)
Стоит отметить, что злоумышленник, судя по всему, обладает обширными знаниями о криптовалютной индустрии и проблемах, с которыми может столкнуться целевая компания. Злоумышленник задал вопросы о структурах комиссий, которые представляют собой комиссии, используемые платформами обмена криптовалютами для торговли. Сборы являются большой проблемой для инвестиционных фондов, поскольку они представляют собой затраты и должны быть оптимизированы, чтобы минимизировать влияние на маржу и прибыль. Как и во многих других компаниях в этой отрасли, самые большие затраты связаны с комиссиями, взимаемыми биржами. Это очень специфическая тема, которая демонстрирует, насколько хорошо подготовлен и подготовлен злоумышленник, прежде чем связаться со своей целью.
Завоевав доверие жертвы, злоумышленник отправил жертве документ Excel, содержащий дополнительную информацию о сборах, чтобы выглядеть законными. Злоумышленник использовал обсуждение структуры вознаграждения как возможность попросить жертву открыть файл Excel и заполнить свою информацию.
Анализ файлов Excel с применением оружия
Оборудованный файл Excel с именем OKX Binance & Huobi VIP Fee Comparision.xls (Sha256: abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0) хорошо составлен и содержит достоверную информацию о текущих комиссиях, используемых некоторыми криптобиржами. Извлеченные метаданные показали, что файл был создан пользователем Wolf:
Рисунок 3. Информация во вредоносном файле Excel
Макрос запутан и использует UserForm (функцию, используемую для создания окон) для хранения данных и переменных. В этом случае имя пользовательской формы — IFUZYDTTOP, а макрос извлекает информацию с помощью следующего кода IFUZYDTTOP.MgQnQVGb.Caption, где MgQnQVGb — имя метки в пользовательской форме, а .caption позволяет получить информацию, хранящуюся в пользовательской форме. .
В таблице ниже показаны данные, полученные из пользовательской формы:
Макрос извлекает некоторые параметры из пользовательской формы, а также из другого файла XLS, хранящегося в base64. Файл XLS помещается в каталог C:\ProgramData\Microsoft Media как VSDB688.tmp и запускается в невидимом режиме.
Рисунок 4. Деобфусцированный код для загрузки извлеченного листа в невидимом режиме.
Кроме того, основной лист файла Excel защищен паролем-драконом, чтобы побудить цель включить макросы. После установки и запуска другого файла Excel, хранящегося в Base64, лист становится незащищенным. Вероятно, это используется для того, чтобы обманом заставить пользователя включить макросы и не вызывать подозрений.
Извлеченный рабочий лист
Второй файл Excel, VSDB688.tmp (Sha256: a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9), используется для получения файла PNG, который позже анализируется макросом для извлечения двух исполняемых файлов и зашифрованного бэкдора. Ниже приведены метаданные для второго рабочего листа:
Рисунок 5. Второй файл совершенно пуст, но содержит ту же технику злоупотребления пользовательской формой, что и первый этап.
В таблице ниже показаны деобфусцированные данные, полученные из пользовательской формы:
Макрос получает некоторые параметры из пользовательской формы, а затем загружает файл PNG с адреса hxxps://od.lk/d/d021d412be456a6f78a0052a1f0e3557dcfa14bf25f9d0f1d0d2d7dcdac86c73/Background.png. На момент анализа файл больше не был доступен, что указывает на то, что злоумышленник, вероятно, использовал его только для этой конкретной атаки.
Рис. 6. Деобфусцированный код, показывающий загрузку файла Background.png.
Затем PNG разбивается на три части и записывается в три разных файла: законный файл logagent.exe, вредоносная версия wsock32.dll и бэкдор, зашифрованный XOR, с GUID (56762eb9-411c-4842-9530-9922c46ba2da). Эти три файла используются для загрузки основной полезной нагрузки в целевую систему.
Рис. 7. Три файла записываются в C:\\ProgramData\SoftwareCache\ и запускаются с использованием API CreateProcess.
Анализ погрузчика
Два из трех файлов, извлеченных из PNG-файла, logagent.exe и wsock32.dll, используются для загрузки бэкдора, зашифрованного XOR. В следующих разделах представлен наш углубленный анализ обоих файлов.
Логагент.exe
Logagent.exe (хэш: 8400f2674892cdff27b0dfe98a2a77673ce5e76b06438ac6110f0d768459942) — это законное системное приложение, используемое для регистрации ошибок проигрывателя Windows Media и отправки информации для устранения неполадок.
Файл содержит следующие метаданные, но не подписан:
Logagent.exe импортирует функцию из wsock32.dll, которая используется злоумышленником для загрузки вредоносного кода в целевую систему. Чтобы активировать и запустить вредоносный wsock32.dll, logagent.exe запускается со следующими аргументами, ранее полученными макросом: 56762eb9-411c-4842-9530-9922c46ba2da /shadow. Оба аргумента затем извлекаются wsock32.dll. GUID 56762eb9-411c-4842-9530-9922c46ba2da — это имя файла для загрузки вредоносного wsock32.dll, а /shadow используется в качестве ключа XOR для его расшифровки. Оба параметра необходимы для функционирования вредоносного ПО, что потенциально затрудняет изолированный анализ.
Рисунок 8. Выполнение командной строки из запущенного процесса logagent.exe
Wsock32.dll
Легитимный wsock32.dll — это API-интерфейс Windows Socket, используемый приложениями для обработки сетевых подключений. В этой атаке злоумышленник использовал вредоносную версию wsock32.dll, чтобы избежать обнаружения. Вредоносный файл wsock32.dll загружается logagent.exe посредством боковой загрузки DLL и использует проксирование DLL для вызова законных функций из реального wsock32.dll и предотвращения обнаружения. Проксирование DLL — это метод перехвата, при котором вредоносная DLL находится между приложением, вызывающим экспортированную функцию, и законной DLL, реализующей эту экспортированную функцию. В этой атаке вредоносный файл wsock32.dll действует как прокси-сервер между logagent.exe и законным файлом wsock32.dll.
Можно заметить, что DLL перенаправляет вызов легитимным функциям, взглянув на таблицу адресов импорта:
Рисунок 9. Импорт таблицы адресов из
Рисунок 10. Получение данных с помощью PeStudio выявило исходное имя файла вредоносного wsock32.dll.
Когда вредоносный wsock32.dll загружается, он сначала получает командную строку и проверяет, присутствует ли файл с GUID в качестве имени в том же каталоге, используя API CreateFile для получения дескриптора файла.
Рисунок 11. Проверка наличия файла 56762eb9-411c-4842-9530-9922c46ba2da для расшифровки
Вредоносная wsock32.dll загружает и декодирует в память окончательный имплант с именем GUID, которое используется для удаленного доступа к зараженной машине.
Как только файл загружается в память, он предоставляет злоумышленнику удаленный доступ. На момент анализа нам не удалось получить окончательную полезную нагрузку. Однако мы выявили другой вариант этой атаки и получили полезную нагрузку, которая обсуждается в следующем разделе. Идентифицированные имплантаты подключались обратно к тому же серверу управления и контроля (C2).
Связанная атака
Мы обнаружили другой файл, использующий тот же механизм, что и logagent.exe, и доставляющий ту же полезную нагрузку. Загрузчик упакован в виде пакета MSI и представляет собой приложение под названием CryptoDashboardV2 (хеш: e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487). После установки MSI он использует законное приложение под названием tplink.exe для загрузки вредоносной DLL под названием DUser.dll, а также использует проксирование DLL.
Рисунок 12. Подробности установки файла MSI.
После установки пакета он запускает и загружает DLL с помощью следующей команды: C:\Users\user\AppData\Roaming\Dashboard_v2\TPLink.exe» 27E57D84-4310-4825-AB22-743C78B8F3AA /sven, где он заметно использует другой GUID.
Дальнейший анализ вредоносной DUser.dll показал, что ее первоначальное имя также HijackingLib.dll, как и у вредоносного wsock32.dll. Это может указывать на использование одного и того же инструмента для создания вредоносных прокси-серверов DLL. Ниже приведены сведения о файле DUser.dll:
Как только DLL запускается, она загружает и декодирует имплантат в памяти и начинает передавать тот же домен. В этом случае имплант использует имя GUID 27E57D84-4310-4825-AB22-743C78B8F3AA и ключ XOR /sven.
Анализ имплантата
Полезная нагрузка, декодированная в памяти вредоносной DLL, представляет собой имплант, используемый злоумышленником для удаленного доступа к скомпрометированной машине. Нам удалось получить тот, который был найден во втором варианте. Ниже приведены подробности полезной нагрузки:
Детали обнаружения
Антивирусная программа Microsoft Defender
Антивирусная программа Microsoft Defender обнаруживает компоненты угроз как следующие вредоносные программы:
Троянский загрузчик:O97M/Wolfic.A
Троянский загрузчик:O97M/Wolfic.B
Троянский загрузчик:O97M/Wolfic.C
Троянский загрузчик:Win32/Wolfic.D
Троянский загрузчик:Win32/Wolfic.E
Поведение:Win32/WolficDownloader.A
Поведение:Win32/WolficDownloader.B
Защитник Microsoft для конечной точки
Оповещения со следующими заголовками в центре безопасности могут указывать на активность угроз в вашей сети:
Исполняемый файл загрузил неожиданную dll
Взлом порядка поиска DLL
Вредоносная программа Wolfic была предотвращена
