Джерело: Microsoft Security Threat Intelligence
За останні кілька років ринок криптовалюти значно розширився, викликаючи інтерес інвесторів і учасників загроз. Сама криптовалюта використовувалася кіберзлочинцями для своїх операцій, зокрема для виплати викупу під час атак програм-вимагачів, але ми також спостерігали, як суб’єкти загроз безпосередньо націлювалися на організації в індустрії криптовалют для отримання фінансової вигоди. Атаки, націлені на цей ринок, приймали різні форми, включаючи шахрайство, використання вразливостей, підроблені програми та використання викрадачів інформації, коли зловмисники намагалися заволодіти криптовалютними коштами.
Ми також бачимо більш складні атаки, під час яких суб’єкт загрози демонструє великі знання та підготовку, вживаючи заходів, щоб завоювати довіру своєї цілі перед розгортанням корисних навантажень. Наприклад, Microsoft нещодавно розслідувала атаку, під час якої зловмисник, відстежуваний як DEV-0139, скористався групами чату Telegram, щоб націлитися на компанії, що займаються інвестиціями в криптовалюту. DEV-0139 приєднався до груп Telegram, які використовуються для полегшення спілкування між VIP-клієнтами та платформами обміну криптовалютами, і визначив свою ціль серед учасників. Зловмисник видавався за представника іншої криптовалютної інвестиційної компанії, а в жовтні 2022 року запросив ціль до іншої групи чату та зробив вигляд, що запитує відгук про структуру комісії, яку використовують платформи обміну криптовалютою. Зловмисник мав ширші знання про цю специфічну частину галузі, що вказувало на те, що він був добре підготовлений і усвідомлював поточний виклик, який можуть мати цільові компанії.
Завоювавши довіру цілі, DEV-0139 надіслав файл Excel із назвою OKX Binance & Huobi VIP fee comparision.xls, який містив кілька таблиць про структуру комісій між компаніями, що займаються обміном криптовалют. Дані в документі, ймовірно, були точними, щоб підвищити їх довіру. Цей озброєний файл Excel ініціює такі дії:
Зловмисний макрос у файлі Excel із застосуванням зброї зловживає UserForm VBA, щоб заплутати код і отримати деякі дані.
Зловмисний макрос скидає інший аркуш Excel, вбудований у форму, і виконує його в невидимому режимі. Згаданий аркуш Excel закодовано в base64 і розміщено в C:\ProgramData\Microsoft Media\ з назвою VSDB688.tmp
Файл VSDB688.tmp завантажує файл PNG, що містить три виконувані файли: законний файл Windows під назвою logagent.exe, шкідливу версію DLL wsock32.dll і бекдор, закодований XOR.
Файл logagent.exe використовується для стороннього завантаження шкідливого wsock32.dll, який діє як DLL-проксі для законного wsock32.dll. Шкідливий DLL-файл використовується для завантаження та розшифровки бекдора, закодованого XOR, який дозволяє зловмиснику віддалено отримати доступ до зараженої системи.
Малюнок 1. Огляд атаки
Подальше дослідження за допомогою нашої телеметрії призвело до виявлення ще одного файлу, який використовує ту саму техніку проксі DLL. Але замість шкідливого файлу Excel він поставляється в пакеті MSI для програми CryptoDashboardV2, датований червнем 2022 року. Це може свідчити про те, що інші пов’язані кампанії також проводяться тим самим загрозником, використовуючи ті самі методи.
У цій публікації блогу ми представимо деталі, виявлені під час нашого розслідування атаки на криптовалютну інвестиційну компанію, а також аналіз пов’язаних файлів, щоб допомогти подібним організаціям зрозуміти цей вид загрози та підготуватися до можливих атак. Дослідники з Volexity також нещодавно опублікували свої висновки щодо цієї атаки.
Як і у випадку з будь-якою спостережуваною діяльністю національних державних суб’єктів, Microsoft безпосередньо повідомляє клієнтів, які стали цілями або скомпрометовані, надаючи їм інформацію, необхідну для захисту своїх облікових записів. Корпорація Майкрософт використовує позначення DEV-#### як тимчасове ім’я, надане невідомому кластеру загроз, що виникає або розвивається, що дозволяє Центру аналізу загроз Microsoft (MSTIC) відстежувати його як унікальний набір інформації, доки ми не досягнемо високого рівня впевненість щодо походження або особи актора, який стоїть за діяльністю. Коли він відповідає критеріям, DEV перетворюється на названого актора.
Початковий компроміс
Щоб ідентифікувати цілі, зловмисник шукав членів інвестиційних груп криптовалюти в Telegram. Під час конкретної атаки DEV-0139 зв’язався зі своєю ціллю 19 жовтня 2022 року, створивши додаткову групу Telegram з назвою <NameOfTheTargetedCompany> <> OKX Fee Adjustment і запросивши трьох співробітників. Зловмисник створював фейкові профілі, використовуючи дані співробітників компанії OKX. На скріншоті нижче показані справжні та шкідливі облікові записи двох користувачів, присутніх у групі.
Малюнок 2. Легітимні профілі співробітників біржі криптовалют (ліворуч) і підроблені профілі, створені загрозою (праворуч)
Варто зазначити, що зловмисник має широкі знання про індустрію криптовалют і проблеми, з якими може зіткнутися цільова компанія. Зловмисник ставив запитання про комісійні структури, тобто комісії, які використовуються платформами криптовалютного обміну для торгівлі. Комісії є великою проблемою для інвестиційних фондів, оскільки вони являють собою витрати і повинні бути оптимізовані, щоб мінімізувати вплив на маржу та прибуток. Як і в багатьох інших компаній у цій галузі, найбільші витрати походять від комісії, що стягується біржами. Це дуже конкретна тема, яка демонструє, наскільки загрозливий актор був просунутим і добре підготовленим перед тим, як зв’язатися зі своєю ціллю.
Завоювавши довіру об’єкта, зловмисник надіслав об’єкту озброєний документ Excel із додатковою інформацією про гонорари, які виглядали законними. Зловмисник використав обговорення структури гонорару як можливість попросити ціль відкрити файл Excel із застосуванням зброї та заповнити свою інформацію.
Озброєний аналіз файлів Excel
Озброєний файл Excel, який має назву OKX Binance & Huobi VIP fee comparision.xls (Sha256: abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0), добре створений і містить законну інформацію про поточні комісії, що використовуються деякими криптобіржами. Витягнуті метадані показали, що файл створив користувач Wolf:
Рисунок 3. Інформація у шкідливому файлі Excel
Макрос обфусцований і зловживає UserForm (функцією, яка використовується для створення вікон) для зберігання даних і змінних. У цьому випадку ім’я UserForm – IFUZYDTTOP, а макрос отримує інформацію за допомогою наступного коду IFUZYDTTOP.MgQnQVGb.Caption, де MgQnQVGb – ім’я мітки у UserForm, а .caption дозволяє отримати інформацію, що зберігається у UserForm. .
У таблиці нижче показано дані, отримані з форми користувача:
Макрос отримує деякі параметри з UserForm, а також інший файл XLS, що зберігається в base64. Файл XLS переміщується в каталог C:\ProgramData\Microsoft Media як VSDB688.tmp і працює в невидимому режимі.
Рисунок 4. Деобфускований код для завантаження вилученого аркуша в невидимому режимі.
Крім того, основний аркуш у файлі Excel захищено паролем dragon, щоб спонукати ціль увімкнути макроси. Після встановлення та запуску іншого файлу Excel, який зберігається в Base64, аркуш стає незахищеним. Ймовірно, це використовується, щоб обманом змусити користувача ввімкнути макроси та не викликати підозри.
Витягнутий аркуш
Другий файл Excel, VSDB688.tmp (Sha256: a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9), використовується для отримання файлу PNG, який пізніше аналізується макросом для вилучення двох виконуваних файлів і зашифрованого бекдора. Нижче наведено метадані для другого аркуша:
Малюнок 5. Другий файл повністю порожній, але містить ту саму техніку зловживання UserForm, що й перший етап.
У таблиці нижче показано деобфусковані дані, отримані з UserForm:
Макрос отримує деякі параметри з UserForm, а потім завантажує файл PNG із hxxps://od.lk/d/d021d412be456a6f78a0052a1f0e3557dcfa14bf25f9d0f1d0d2d7dcdac86c73/Background.png. На момент аналізу файл більше не був доступний, що вказує на те, що зловмисник, ймовірно, розгорнув його лише для цієї конкретної атаки.
Рисунок 6. Деобфускований код, який показує завантаження файлу Background.png
Потім PNG розділяється на три частини та записується в три різні файли: законний файл logagent.exe, шкідливу версію wsock32.dll і зашифрований XOR бекдор із GUID (56762eb9-411c-4842-9530-9922c46ba2da). Ці три файли використовуються для завантаження основного корисного навантаження в цільову систему.
Рисунок 7. Три файли записуються в C:\\ProgramData\SoftwareCache\ і запускаються за допомогою CreateProcess API
Аналіз завантажувача
Два з трьох файлів, отриманих із файлу PNG, logagent.exe та wsock32.dll, використовуються для завантаження бекдора, зашифрованого XOR. У наступних розділах представлено наш поглиблений аналіз обох файлів.
Logagent.exe
Logagent.exe (хеш: 8400f2674892cdfff27b0dfe98a2a77673ce5e76b06438ac6110f0d768459942) — це законна системна програма, яка використовується для реєстрації помилок із Windows Media Player і надсилання інформації для усунення несправностей.
Файл містить такі метадані, але він не підписаний:
Loggent.exe імпортує функцію з wsock32.dll, якою зловживає зловмисник для завантаження шкідливого коду в цільову систему. Щоб активувати та запустити шкідливий wsock32.dll, logagent.exe запускається з такими аргументами, попередньо отриманими макросом: 56762eb9-411c-4842-9530-9922c46ba2da /shadow. Потім wsock32.dll отримує обидва аргументи. GUID 56762eb9-411c-4842-9530-9922c46ba2da — це ім’я файлу для завантаження шкідливого wsock32.dll, а /shadow використовується як ключ XOR для його розшифровки. Обидва параметри необхідні для функціонування зловмисного програмного забезпечення, потенційно перешкоджаючи ізольованому аналізу.
Рисунок 8. Виконання командного рядка з запущеного процесу loggent.exe
Wsock32.dll
Законний wsock32.dll — це API сокета Windows, який використовується програмами для обробки мережевих з’єднань. У цій атаці зловмисник використовував шкідливу версію wsock32.dll, щоб уникнути виявлення. Шкідливий wsock32.dll завантажується logagent.exe через бокове завантаження DLL і використовує DLL-проксі для виклику законних функцій зі справжнього wsock32.dll і уникнення виявлення. Проксі DLL – це техніка викрадення, коли шкідлива DLL знаходиться між програмою, яка викликає експортовану функцію, і законною DLL, яка реалізує цю експортовану функцію. У цій атаці шкідливий wsock32.dll діє як проксі-сервер між logagent.exe і законним wsock32.dll.
Переглянувши таблицю адрес імпорту, можна помітити, що DLL перенаправляє виклик законним функціям:
Рисунок 9. Імпорт таблиці адрес з
Малюнок 10. Отримання даних за допомогою PeStudio виявило вихідну назву файлу для шкідливого wsock32.dll.
Коли завантажується шкідливий файл wsock32.dll, він спочатку отримує командний рядок і перевіряє, чи файл із GUID як ім’я файлу присутній у тому самому каталозі за допомогою API CreateFile, щоб отримати дескриптор файлу.
Малюнок 11. Перевірка наявності файлу 56762eb9-411c-4842-9530-9922c46ba2da для розшифровки
Шкідливий wsock32.dll завантажує та декодує остаточний імплантат у пам’ять з іменем GUID, який використовується для віддаленого доступу до зараженої машини.
Як тільки файл завантажується в пам'ять, він надає віддалений доступ до загрози. На момент аналізу ми не змогли отримати остаточне корисне навантаження. Однак ми ідентифікували інший варіант цієї атаки та отримали корисне навантаження, яке обговорюється в наступному розділі. Ідентифіковані імплантати підключалися назад до того самого командно-контрольного (C2) сервера.
Пов'язана атака
Ми визначили інший файл, використовуючи механізм, подібний до logagent.exe, і доставляючи таке ж корисне навантаження. Завантажувач упакований як пакет MSI і, відповідно, програма під назвою CryptoDashboardV2 (хеш: e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487). Після інсталяції MSI він використовує законну програму під назвою tplink.exe для завантаження зловмисної DLL під назвою DUser.dll, а також використовує DLL-проксі.
Малюнок 12. Деталі встановлення файлу MSI
Після встановлення пакета він запускає та завантажує DLL за допомогою такої команди: C:\Users\user\AppData\Roaming\Dashboard_v2\TPLink.exe” 27E57D84-4310-4825-AB22-743C78B8F3AA /sven, де помітно використовує інший GUID.
Подальший аналіз шкідливого DUser.dll показав, що його оригінальна назва також HijackingLib.dll, як і шкідливий wsock32.dll. Це може вказувати на використання того самого інструменту для створення цих шкідливих DLL-проксі. Нижче наведено відомості про файл DUser.dll:
Коли DLL запущено, він завантажує та декодує імплантат у пам’яті та починає показувати той самий домен. У цьому випадку імплантат використовує ім’я GUID 27E57D84-4310-4825-AB22-743C78B8F3AA і ключ XOR /sven.
Аналіз імплантів
Корисне навантаження, розшифроване в пам’яті зловмисною DLL, є імплантатом, який використовується загрозою для віддаленого доступу до скомпрометованої машини. Ми змогли отримати один із другого варіанту, який ми виявили. Нижче наведено деталі корисного навантаження:
Деталі виявлення
Антивірус Microsoft Defender
Антивірус Microsoft Defender виявляє компоненти загрози як такі шкідливі програми:
TrojanDownloader:O97M/Wolfic.A
TrojanDownloader:O97M/Wolfic.B
TrojanDownloader:O97M/Wolfic.C
TrojanDownloader:Win32/Wolfic.D
TrojanDownloader:Win32/Wolfic.E
Поведінка: Win32/WolficDownloader.A
Поведінка: Win32/WolficDownloader.B
Microsoft Defender для кінцевої точки
Сповіщення з такими назвами в центрі безпеки можуть вказувати на активність загроз у вашій мережі:
Виконуваний файл завантажив неочікувану dll
Викрадення порядку пошуку DLL
Зловмисне програмне забезпечення «Wolfic» було попереджено
