Раз ETAG, два ETAG: препарируем инфраструктуру MuddyWater

Продолжающийся политический кризис привел к значительному росту активности прогосударственных хакеров, как мы и прогнозировали в отчете «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023». Большинство атакующих занимались кибершпионажем против соседних государств. Одной из таких группировок была и остаётся MuddyWater, о которой F.A.C.C.T. уже писала в прошлом.

По данным публичных исследований, MuddyWater предположительно является одним из подразделений Министерства Разведки и Безопасности Ирана (MOIS). По данным Исследовательской службы Конгресса, MOIS «проводит внутреннее наблюдение для выявления противников режима», а также следит за активистами иранской оппозиции.

Одни из последних атак MuddyWater были нацелены на страховые, производственные и телекоммуникационные компании в Израиле и Египте. В ходе атак на израильские организации группа эксплуатировала уязвимости Log4j 2.

Последние несколько лет группа активно использует легитимные инструменты удаленного контроля, такие как ScreenConnect, RemoteUtilities и Syncro. С их помощью MuddyWater может в любой момент подключиться к устройствам пользователей, выполнить произвольные команды, а также загрузить и выгрузить любые интересующие хакеров файлы. Работу таких инструментов отследить достаточно сложно, поскольку они легальны, не скомпрометированы и, следовательно, не детектируются классическими средствами безопасности.  Осенью 2022 года с помощью системы F.A.C.C.T. Threat Intelligence мы обнаружили, что MuddyWater использует еще один подобный инструмент – SimpleHelp. Параллельно нашему расследованию коллеги из ESET опубликовали свой квартальный отчет, в котором также упоминают использование этого инструмента данной группой атакующих.

В этом блоге мы расскажем о техниках работы группы с SimpleHelp, а также о ранее неизвестной инфраструктуре злоумышленников, которую удалось раскрыть в ходе исследования. Постоянное отслеживание техник, тактик и методов  злоумышленников позволяет F.A.C.C.T. проактивно реагировать на готовящиеся вредоносные кампании и осуществлять блокировку новых серверов еще на этапе подготовки атак.

Цель нашего блога — помочь специалистам по информационной безопасности и реагированию на инциденты детально  разобраться в сетевой инфраструктуре MuddyWater и научиться находить серверы этой группировки самостоятельно. Это поможет выстроить с нуля или усилить существующую систему защиты организаций и проактивно обнаруживать новые активности данной группы атакующих.

Кто такие MuddyWater

Предполагаемая страна происхождения: Иран

Начало активности:  2017

Топ-5 атакуемых индустрий: военная промышленность, телекоммуникации, производство, образование, нефть и газ.

Топ-10 атакуемых стран: Турция, Пакистан, ОАЭ, Ирак, Израиль, Саудовская Аравия, Иордан, США, Азербайджан, Афганистан.

Известные названия: TEMP.Zagros, Seedworm, Static Kitten, SectorD02, TA450, Boggy Serpens, MERCURY.

Ключевые выводы

• Группа MuddyWater использует легитимный инструмент удаленного контроля и управления устройствами SimpleHelp для закрепления на устройстве жертвы.
• SimpleHelp не скомпрометирован, а используется так, как было задумано разработчиками. Злоумышленники нашли способ загружать данный инструмент с официального сайта и использовать его в своих атаках.
• По нашим данным, первый случай использования данного инструмента группой MuddyWater датируется 30 июня 2022. На момент написания этого блога в распоряжении группы по меньшей мере 8 серверов, где установлен SimpleHelp.
• Блог описывает ранее неизвестную инфраструктуру группы MuddyWater, а также указывает на связь с некоторыми публично известными адресами группы.
• Серверы группы можно отслеживать через использование одинаковых ETAG хэшей:
  • 2aa6-5c939a3a79153
  • 2aa6-5b27e6e58988b
  • 2aa6-5c939a773f7a2.

SimpleHelp

Осенью 2022 года в ходе ретроспективного  анализа инфраструктуры наблюдаемых хакерских групп наша система F.A.C.C.T. Threat Intelligence задетектировала IP-адрес 51.254.25[.]36, который связан с группой MuddyWater по меньшей мере с февраля 2022 года. После этого нами был обнаружен связанный с адресом IP-файл SHA1:53ce7a2850e27465f3aae3cc2fae1a3ec1b6a640 c названием new aviation communications.exe.

Изображение 1. Скриншот графового анализа связанной с 51.254.25[.]36 инфраструктуры в интерфейсе F.A.C.C.T. Threat Intelligence

Файл new aviation communications.exe был загружен на VirusTotal 30 июня 2022. Этот файл – не что иное, как легитимная версия инструмента SimpleHelp с действующей цифровой подписью, скомпилированная 2021-06-18 13:45:41 UTC.

Изображение 2. Даты компиляции и загрузки на VirusTotal файла SHA1:53ce7a2850e27465f3aae3cc2fae1a3ec1b6a640

Изображение 3. Цифровые подписи файла SHA1:53ce7a2850e27465f3aae3cc2fae1a3ec1b6a640

На другой паре IP-адресов, которые система F.A.C.C.T. Threat Intelligence атрибутирует к группе MuddyWater, мы также обнаружили развернутые SimpleHelp серверы: 51[.]255[.]19[.]179, 51[.]255[.]19[.]178

Панель управления SimpleHelp

SimpleHelp от одноименного разработчика SimpleHelp Ltd (UK) представляет собой панель управления для системных администраторов и технической поддержки. Она выглядит следующим образом:

Изображение 5. Интерфейс SimpleHelp

Клиент SimpleHelp, который устанавливается на компьютере жертвы, способен работать как сервис, что позволяет получать доступ к устройству пользователя в любой момент времени даже после перезагрузки.

Изображение 6. Удаленный доступ к компьютеру жертвы в SimpleHelp

Кроме удаленного подключения, операторы SimpleHelp способны выполнять различные команды на устройстве жертвы, в том числе и с правами администратора:

Также операторы могут использовать команду Connect in Terminal Mode для скрытого управления устройством.

Изображение 8. Команда Connect in Terminal Mode

В таком случае командная оболочка открывается с правами system:

Иными словами, стандартный функционал SimpleHelp дает злоумышленниками почти безграничные возможности для проведения атак.

Что происходит после установки SimpleHelp?

На данный момент нам неизвестно, как именно данные образцы распространяются и какие дальнейшие шаги предпринимаются MuddyWater после получения доступа через SimpleHelp. Однако можно предположить, что группа рассылает фишинговые письма содержащие ссылки на файловые хранилища, такие как Onedrive или Onehub, для дальнейшей загрузки SimpleHelp-установщиков. Группа также может дополнительно закрепляться на устройстве жертвы, например, с использованием Fast Reverse Proxy (FRP) или Ligolo, выгружать интересующую информацию и искать пути передвижения в сети.

Сетевая инфраструктура MuddyWater

Group-IB уделяет много внимания отслеживанию сетевой инфраструктуры как прогосударственных, так и киберпреступных группировок. Этот метод позволяет нам проактивно защищать наших клиентов и собирать данные о новых и готовящихся атаках даже без наличия вредоносных сэмплов. Актуальную инфраструктуру MuddyWater можно разделить на две части:

• Публично известные адреса группы;
• Публично не оглашаемые IP-адреса, которые мы в F.A.C.C.T. с высоким уровнем уверенности оцениваем как используемые данной группой.

Было установлено, что MuddyWater использует свой уникальный набор компонентов для развертывания веб-серверов на купленных ими VPS-серверах. Нами были выявлены следующие ETAG хэши, которые используются группой:

• 2aa6-5c939a3a79153;
• 2aa6-5b27e6e58988b;
• 2aa6-5c939a773f7a2.

Часть серверов, связанных с этими ETAG хэшами, уже известна как используемая группой MuddyWater. Другая часть имеет связи с различными вредоносными файлами или ПО, использующимся для атак, в том числе и легальными установщиками SimpleHelp.

Let’s do the Graph

Начнем с публично известных адресов группы для того, чтобы наглядно показать связь. Согласно отчету Microsoft,  группа MuddyWater использовала следующие адреса, на которых были найдены вышеуказанные ETAG хэши:

• 164[.]132[.]237[.]64
• 91[.]121[.]240[.]104

Изображение 9. Скриншот графового анализа инфраструктуры MuddyWater в интерфейсе F.A.C.C.T. Threat Intelligence

164[.]132[.]237[.]64

Данный хост обладает сразу несколькими ETAG хэшами.

Изображение 10. Скриншот графового анализа хоста 164[.]132[.]237[.]64 и связанных ETAG хэшей в интерфейсе F.A.C.C.T. Threat Intelligence

Исследование инфраструктуры показало пересечение хостов 164[.]132[.]237[.]64 и 164[.]132[.]237[.]65 через использование одного SSH-отпечатка SSH-fingerprint e7383c77c6f804cffac6c88651b7bce2.

Изображение 11. Скриншот графового анализа части инфраструктуры MuddyWater в интерфейсе F.A.C.C.T. Threat Intelligence

На сервере 164[.]132[.]237[.]65 мы обнаружили фреймворк Cobalt Strike со следующим файлом конфигурации:

Изображение 12. Файл конфигурации Cobalt Strike

В ноябре 2022 года, команда Лаборатории Компьютерной Криминалистики F.A.C.C.T. совместно с командой Threat Intelligence проводили реагирование на инцидент в сети организации на Ближнем Востоке. В результате было выявлено, что вышеуказанный адрес 164[.]132[.]237[.]65 использовался в данной атаке, а тактики, техники и процедуры (TTP), которые были обнаружены нами, полностью совпадают с TTP группы MuddyWater. Примечательным в этом конфиге является отсутствие поля watermark, а также уникальное значение в поле http-post.client. Это говорит, о том, что злоумышленники используют кастомные образцы известного инструмента Cobalt Strike, которые можно отслеживать.

91[.]121[.]240[.]104

Данный IP адрес также был упомянут в отчете Microsoft и имеет ETAG:2aa6-5c939a3a79153:

Изображение 13. Скриншот графового анализа IP адреса 91[.]121[.]240[.]104 в интерфейсе F.A.C.C.T. Threat Intelligence

Подозрительные ETAG хэши: ранее неизвестная инфраструктура MuddyWater

Данная часть блога описывает ранее неизвестную инфраструктуру группы MuddyWater, а также некоторые публично известные адреса атакующих.

ETAG:2aa6-5c939a3a79153:

Если посмотреть на изображение ниже, можно заметить, что три вышеупомянутых IP-адреса связаны через HTTP ETAG:2aa6-5c939a3a79153. По данному ETAG в базе системы F.A.C.C.T. Threat Intelligence находится более 50 серверов. С их полным списком можно ознакомиться в Таблице индикаторов в конце блога. В данном разделе указаны самые интересные на наш взгляд IP-адреса, связанные с ETAG:2aa6-5c939a3a79153.

Изображение 14. Скриншот графового анализа части ранее неизвестной инфраструктуры злоумышленников в интерфейсе F.A.C.C.T. Threat Intelligence

137[.]74[.]131[.]24

Данный адрес исследователи F.A.C.C.T. также нашли в сети ближневосточной организации во время проведения реагирования на инцидент. В результате исследования сети жертвы были выявлены следы группы MuddyWater.

Изображение 15. Скриншот графового анализа хоста 137[.]74[.]131[.]24 и связанных ETAG в интерфейсе F.A.C.C.T. Threat Intelligence

91[.]121[.]240[.]96

ETAG 2aa6-5c939a3a79153 был найден на IP-адресе 91[.]121[.]240[.]96 в период с 2021.10.25 по 2022.09.23.

С этим адресом связан скрипт PowerShell, который грузился на VirusTotal через веб-интерфейс из Казахстана 19 июля 2022, то есть в период наличия ETAG на сервере.

Изображение 16. Скрипт PowerShell, загруженный на VirusTotal 19 июля 2022

Этот код представляет собой скрипт на языке PowerShell. Его задача заключается в том, чтобы периодически получать команды от удаленного сервера, выполнять их на устройстве-жертвы и отправлять результаты обратно на сервер.

Изображение 17. Сетевое взаимодействие PowerShell скрипта с C&C-сервером 91[.]121[.]240[.]96

91[.]121[.]240[.]108

Это еще один IP-адрес, связанный с ETAG:2aa6-5c939a3a79153. На VirusTotal был обнаружен файл-ярлык, загруженный 11 октября 2022.

Изображение 18. Метаданные файла SHA256: 2528838a609aa143769efb37dff45af723868d4ed33eb1ce0e2d6ce64b2a1507

Этот файл распространялся через архив с названием  request-for-service-no10102022.zip

Сам архив был загружен на VirusTotal из Литвы и Швейцарии:

Изображение 19. Даты загрузки архива request-for-service-no10102022.zip на VirusTotal

Shell-команда в ярлыке:

Команда отвечает  за загрузку полезной нагрузки из http://91[.]121[.]240[.]108:443/HBIy и ее сохранение в файл C:\programdata\temp.vbs во время исполнения ярлыка. Для отвлечения внимания открывается microsoft-edge на странице hxxps://mohap[.]gov[.]ae с диалоговым окном, сообщающим, что файл повреждён. К сожалению, на момент анализа, файл HBIy был недоступен, поэтому нам не удалось исследовать его содержимое.

Из интересных деталей:  можно заметить имя пользователя, которое оставалось в процессе создания ярлыка: C:\Users\Pink Panter\Documents\PDF.ico, что указывает на ник пользователя создавшего данный файл – Pink Panter.

178[.]32[.]30[.]3

Данный IP уже использовался группой MuddyWater в ходе атак на Турцию и ряд азиатских стран, описанных исследователями Cisco Talos, и также имеет ETAG:2aa6-5c939a3a79153.

Изображение 20. Скриншот графового анализа связей IP адреса 178[.]32[.]30[.]3 в интерфейсе F.A.C.C.T. Threat Intelligence

149[.]202[.]242[.]80

149[.]202[.]242[.]80 также был связан с другим ETAG:2aa6-5b27e6e58988b, о нём ниже.

Изображение 21. Скриншот графового анализа связей IP адреса 149[.]202[.]242[.]80 в интерфейсе F.A.C.C.T. Threat Intelligence

ETAG:2aa6-5b27e6e58988b

IP-адрес 149[.]202[.]242[.]80 владеет сразу несколькими ETAG. Один из них ETAG:2aa6-5b27e6e58988b.

С данным ETAG связано пять серверов в интернете. Один из них 164[.]132[.]237[.]66, который входит в состав уже упомянутой выше подсети 164[.]132[.]237[.]0/24.

Изображение 22. Скриншот графового анализа ETAG:2aa6-5b27e6e58988b и связанных адресов в интерфейсе F.A.C.C.T. Threat Intelligence

Также этот адрес связан еще и с ETAG: 2aa6-5c939a773f7a2, о котором мы расскажем ниже.

SSH Fingerprint — 3648a6085512ab91f5a23bafb8418f7b

Данный SSH-отпечаток связан с шестью IP-адресами:

• 51[.]255[.]19[.]183
• 149[.]202[.]242[.]85
• 149[.]202[.]242[.]80
• 164[.]132[.]237[.]64
• 164[.]132[.]237[.]66
•  149[.]202[.]242[.]86

Этот SSH-отпечаток связан с уже знакомым адресом группы 164[.]132[.]237[.]64.

Изображение 23. Скриншот графового анализа связей SSH-отпечатка в интерфейсе F.A.C.C.T. Threat Intelligence

Хосты 164[.]132[.]237[.]66 и 149[.]202[.]242[.]85,  связанные с этим SSH-отпечатком, делят между собой уже упомянутый ETAG: 2aa6-5c939a773f7a2. Часть адресов этого ETAG также пересекается с 2aa6-5c939a3a79153.

ETAG: 2aa6-5c939a773f7a2

137[.]74[.]131[.]16 и 149[.]202[.]242[.]84

Данные адреса использовались группой MuddyWater в прошлом, об этом писали коллеги из Cisco Talos.

Изображение 24. Скриншот графового анализа связей ETAG: 2aa6-5c939a773f7a2 в интерфейсе F.A.C.C.T. Threat Intelligence

В данном исследовании мы упомянули только те IP-адреса, которые имеют связанные файлы или интересную историю. Ознакомиться с остальными IP-адресами, связанными с тем или иным ETAG, можно в таблице ниже.

Выводы

Как и прежде, мы считаем важным делиться актуальными способами хантинга атакующих и призываем исследователей чаще публиковать последние находки в мире кибербезопасности. Специалисты  могут использовать указанные в данной статье ETAG хэши и осуществлять поиск вредоносных серверов с использованием таких поисковых систем как Censys или Shodan. Также в таблице с сетевыми индикаторами указаны адреса некоторых серверов, где установлен SimlpeHelp и которые, по данным F.A.C.C.T. Threat Intelligence, принадлежат группе MuddyWater.

На данный момент нам точно неизвестен вектор распространения установщиков SimpleHelp, однако можно предположить, что злоумышленники используют фишинговые письма со ссылками, ведущими на облачные хранилища, такие как OneDrive, Onehub или Dropbox.

Рекомендации

1. Используйте сетевые индикаторы, приведенные нами в этом блоге, для того, чтобы отслеживать активность хакерской группы MuddyWater и проактивно защищаться от ее атак. Так, применяя такие поисковые системы, как Shodan, можно осуществлять поиск вредоносных серверов злоумышленников и всегда быть наготове к проактивной блокировке таких хостов. Кроме того, Shodan вполне может также использоваться для поиска новой инфраструктуры группы.
2. Используйте инструменты для защиты корпоративной электронной почты, чтобы эффективно предотвращать использование этого вектора атаки различными группами злоумышленников. Решение Group-IB Business Email Protection, благодаря уникальным данным киберразведки и запатентованным технологиям, с беспрецедентной точностью обнаруживает и блокирует фишинг, вредоносные вложения и другие BEC-атаки, даже если киберпреступники применяют техники обхода обнаружения таких угроз. Также F.A.C.C.T. Business Email Protection позволяет анализировать и атрибутировать угрозы, распространяемые через электронную почту, чтобы проактивно защищаться от похожих атак и повысить общий уровень защищенности организации.
3. Продвинутым командам по кибербезопасности мы рекомендуем использовать систему Group-IB Threat Intelligence, с помощью которой, как мы показали в этом блоге, мы обнаружили факт использования группой MuddyWater инструмента SimpleHelp и вычислили ранее неизвестную инфраструктуру злоумышленников. Благодаря уникальным источникам данных, наша система Threat Intelligence может использоваться для выявления фишинга и других актуальных киберугроз еще на стадии их подготовки. С  помощью встроенного инструмента графового анализа, усиленного данными из самой обширной базы злоумышленников, можно легко и быстро атрибутировать угрозы, выявлять связи между атакующими, их инфраструктурой и инструментами. Обогащение экосистемы кибербезопасности компании данными киберразведки позволяет значительно повысить возможность противостоять атакам, в том числе и со стороны прогосударственных атакующих.

Network Indicators