Хакеры пытались атаковать российские правительственные учреждения с помощью фишинговых писем с поддельными обновлениями безопасности Windows и другими "приманками" для установки вредоносного ПО удаленного доступа (RAT).
Исследователи киберугроз установили, что атаки проводились не известной ранее хакерской группой APT (advanced persistent threat). Специалисты предполагают, что злодеи действуют из Китая и до этого были связаны с четырьмя отдельными фишинговыми кампаниями.
Предыдущие операции охватывали период с февраля по апрель 2022 года, совпадая с началом спецоперации России на Украине. Целями этих атак были государственные органы Российской Федерации.
Во всех четырех случаях конечной целью кампаний было заражение целей пользовательским трояном удаленного доступа (RAT), который, скорее всего, помогал в шпионских операциях.
Обнаружила, а после "выкатила" и отчет по атакам команда аналитиков из Malwarebytes Threat Intelligence. Специалистами по киберугрозам были отмечены характерные попытки злоумышленников скрыть свою преступную деятельность, имитируя инструменты других хакерских группировок, чтобы долгое время оставаться в тени.
Фишинговые кампании
Первая из четырех кампаний, приписываемых этому новому APT, началась в феврале 2022 года распространением RAT под названием «interactive_map_UA.exe».
Для второй волны у APT было больше времени, чтобы подготовить что-то более изощренное. Они использовали архив tar.gz который должен был стать исправлением уязвимости Log4Shell, отправленной якобы Министерством цифрового развития, телекоммуникаций и массовых коммуникаций Российской Федерации.
По данным Malwarebytes, эта кампания имела узкий таргетинг, поскольку большинство связанных с ней электронных писем доходили до сотрудников телеканала RT, государственной российской телевизионной сети.
Эти электронные письма содержали PDF-файл с инструкциями по установке патча Log4j и даже включали советы типа «не открывать и не отвечать на подозрительные электронные письма».
«Принимая во внимание использование киберпреступниками определенного программного обеспечения и уязвимостей серверного типа для получения доступа к информации о пользователях, был выпущен программный патч для обновления системы Windows 10, которая закрывает уязвимость CVE-2021-44228 (уровень серьезности 10.0)», — говорится в переведенном фишинговом документе, как показано ниже.
Третья кампания подделывала Ростех, российский государственный оборонный конгломерат, и хакеры использовали недавно зарегистрированные домены, такие как «Rostec.digital» и поддельные страницы на Facebook, для распространения своего вредоносного ПО, создавая впечатление, что оно исходит от известной организации.
Наконец, в апреле 2022 года китайские хакеры перешли на макрозараженный документ Word, содержащий поддельное объявление о работе крупной нефтегазовой компании Saudi Aramco.
В документе использовалась удаленная инъекция для извлечения вредоносного шаблона и передачи скрипта VBS кандидатам, претендующим на должность «Аналитик стратегии и роста».
Скрытая полезная нагрузка
Malwarebytes удалось извлечь образцы полезной нагрузки из всех четырех кампаний и сообщить, что во всех случаях это, по сути, одна и та же DLL, использующая разные имена.
Вредоносное ПО имеет методы антианализа, такие как сведение потока управления с помощью OLLVM и обфускация строк с использованием кодирования XOR.
Что касается команд, которые C2 может запрашивать из полезных данных, к ним относятся следующие:
- getcomputername – перепрофилирование хоста и назначение уникального идентификатора
- upload – получение файла от C2 и запись его на диск хоста
- execute – выполнение инструкции командной строки из C2 и отправка результата
- exit – завершение процесса вредоносного ПО
- ls – извлечение списка всех файлов в указанном каталоге и отправка его в C2
Домены C2, обнаруженные Malwarebytes, были «windowsipdate[.] com", "microsoftupdetes[.] com" и "mirror-exchange[.]com».
Заметали следы...
Доказательства, указывающие на то, что эта новая APT является китайской сделаны из исследования инфраструктуры, которую использовали хакеры в своих атаках. Но это не точно.
Ясно одно - злоумышленники пытались "замести" свои отличительные следы, маскируясь под других хакеров и используя их вредоносные инструменты.
Например, части используемой инфраструктуры ранее были связаны с Sakula RAT, используемой китайской APT Deep Panda.
Еще один интересный вывод заключается в том, что новый APT использовал тот же конструктор макросов для волны Saudi Aramco, что и TrickBot и BazarLoader. Инструмент, ранее используемый бандой вымогателей Conti
Наконец, есть развертывание библиотеки wolfSSL, которая обычно встречается исключительно в кампаниях Lazarus или Tropic Trooper.
