Искусство неделового письма: F.A.C.C.T. предупреждает об атаках Narketing163 на российские компании

В начале 2024 года в процессе изучения массовых вредоносных рассылок специалисты F.A.C.C.T. Threat Intelligence выделили несколько схожих атак и выдвинули  предположение, что все они связаны с одним и тем же атакующим. Злоумышленник был назван Narketing163 по одному из наиболее часто используемых им электронных адресов – narketing163@gmail[.]com, который встречался во множестве писем в качестве обратного электронного адреса.

По данным F.A.C.C.T., Narketing163 атакует пользователей из разных стран, в числе которых Беларусь, Казахстан, Азербайджан, Армения, Болгария, Украина, Турция, США, Германия, Испания, Индия, Румыния, Великобритания, Сингапур, Марокко, Литва, Норвегия, Шри-Ланка, Люксембург, Мексика. Есть в списке целей Narketing163 и Россия. Злоумышленник атаковал сотрудников российских компаний под видом деловой переписки. По состоянию на сентябрь 2024 года, было обнаружено более 500 вредоносных писем атакующего, нацеленных на российские компании, которые были исследованы в рамках данного блога.

В ходе своих атак злоумышленник распространял вредоносные программы, которые были атрибутированы решением  F.A.C.C.T. Managed XDR к следующим семействам ВПО: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger.

В этом блоге мы разберем атаки Narketing163, расскажем о его тактиках и техниках, поделимся рекомендациями и индикаторами компрометации.

Анализ активности злоумышленника

По данным исследователей F.A.C.C.T., Narketing163 проводит фишинговые атаки на российские компании как минимум с 14 июля 2023 года и на момент написания блога в сентябре 2024 года, все еще не прекратил свою активность. Вредоносные рассылки Narketing163 нацелены на компании из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности.

Как мы отмечали выше, в своих атаках Narketing163 использует различное вредоносное ПО, написанное под ОС Windows: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger. Ниже представлено краткое описание вредоносных программ, используемых злоумышленником в рассматриваемых атаках.

RedLine Stealer — вредоносное ПО, которое появилось в продаже на андеграундных ресурсах в 2020 году. Основные возможности:

• сбор из браузеров:
• логинов и паролей;
• файлов cookie;
• данных автозаполнения;
• данных кредитных карт;
• сбор данных из FTP-клиентов, IM-клиентов;
• файл-граббер;
• сбор информации о системе жертвы;
• выполнение задач в зараженной системе.

Agent Tesla — это популярный троян, появившийся в продаже в 2014 году. Сначала создавался как кейлогер, но с течением времени получил расширенные функциональные возможности: захват камеры жертвы, сбор информации о зараженном устройстве, кража паролей из приложений и браузеров, загрузка и запуск приложений на компьютере жертвы и др.

FormBook (FormBookFormgrabber) — инфостилер, крадущий данные из браузеров, FTP-клиентов и мессенджеров. Начал продаваться на хакерских форумах с начала 2016 года. Вредоносная программа внедряется в процессы и устанавливает хуки для регистрации нажатий клавиш, кражи содержимого буфера обмена и извлечения данных из сеансов HTTP.

Snake Keylogger  — это вредоносная программа, обнаруженная в ноябре 2020 года, основная функция которой — запись нажатий клавиш пользователей и передача собранных данных злоумышленникам. Заражение данным кейлоггером представляет большую угрозу конфиденциальности и онлайн-безопасности затронутых пользователей, поскольку вредоносное ПО может извлекать практически все виды информации — имена пользователей, пароли, данные банковских карт и другую информацию.

Атрибуция

Соотнести обнаруженные атаки с одним злоумышленником удалось на основе следующих признаков:

• обратные электронные адреса, указанные в письмах;
• атакуемые компании;
• дата и время атак;
• язык и стилистика писем;
• похожие имена вредоносных архивов из вложений и исполняемых файлов внутри них;
• использование злоумышленником одних и тех же серверов для эксфильтрации.

Narketing163 рассылал письма от лица электронных адресов с доменами верхнего уровня tr, az, com, kz, pe, info, net с целью имитации активности от существующих компаний. У нас нет точной информации, были ли данные почтовые аккаунты скомпрометированы и с них осуществлялась рассылка, или была задействована подмена электронного адреса отправителя.

В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам:

• narketing163@gmail[.]com
• tender12@mail[.]com
• verconas@mail[.]com
• kubrayesti@gmail[.]com

В рассылках злоумышленника постоянно менялись IP-адреса отправителя писем. Вероятно, он использовал средства анонимизации по типу VPN и прокси-серверов.

В ходе атак злоумышленник рассылал письма на следующих языках:

• русском;
• азербайджанском;
• турецком;
• английском.

Тематика текстов писем связана с ценовыми предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой.

Narketing163 использовал различные имена для вредоносных архивов и исполняемых файлов внутри них, но в ряде атак были выявлены схожие наименования. Подобные имена архивов из вложений, используемых в атаках Narketing163:

• Fashy qiymatlari xlsx.cab
• 30012024xxls.zip
• 55579653_XXLS.zip
• 20038038XXLS.cab.rar
• 2037746883 XXLS.zip
• 000299188350 XXLS.zip
• IMG_0293082828XXLS.cab
• 00039XXLS.zip
• kara xlsx.zip
• 1037_Xlsx.xz
• FA32039XLXS.xz
• 008780XXLS.xz

Похожие имена исполняемых файлов внутри архивов:

• rrr00oil998643.exe
• rrrockk8897765wq.exe
• rock99ookkhgg54.exe
• rrocc99355wwqaas.exe
• rrrock998076.exe
• ros990036624gswr.exe
• rock99588577yetdr.exe
• roc88994777653tehjd.exe
• rock884959958iiiifw.exe
• rc0047ggdte3.exe
• rrck990057hhjyy6.exe
• rrkk9947hhyft54.exe
• rock9980jjfur.exe
• rrrrrr0olkt.exe
• rockFguoiv.exe
• rorkYhnrf.exe
• rkRrioghjfb.exe
• roFunsrvqmaaq.exe
• rrkPrsmedlda.exe
• rrkkDvbowhld.exe
• rorr99086.exe
• roo48895004hhye2.exe
• ro9088cgg5542.exe
• rocBifzmwb.exe
• rrDmetnnff.exe
• rrkTpswhogt.exe
• rocXsazk.exe
• Rocdmxtwgsbtt.exe
• rocMscmrp.exe
• roDdeqsha.exe
• ryNbjqznxgwb.exe
• ryEahargnynk.exe
• rkXcslev.exe
• ryMblnsuw.exe
• rrTqdiabb.exe
• ryc9984766ert3.exe

Сетевая инфраструктура

По связям семплов из фишинговых писем Narketing163 на VirusTotal удалось установить серверы, которые, вероятно, использовались злоумышленником для эксфильтрации скомпрометированных данных жертв. В ходе изучения семплов ВПО были обнаружены домены и IP-адреса, с которыми контактировали образцы, а также конфигурации вредоносного ПО.

С 6 ноября 2023 года Narketing163 начал использовать поддомен mail[.]sturmsgroup[.]com под IP-адресом 185[.]28[.]39[.]41. Домен sturmsgroup[.]com был зарегистрирован 2 ноября 2023 года. Связи представлены на графе ниже.

Рис. 1. Граф связей поддомена mail[.]sturmsgroup[.]com

Как минимум с 23 января 2024 года злоумышленник начал использовать еще один сервер (поддомен: mail[.]gencoldfire[.]com, IP-адрес: 185[.]196[.]11[.]12). Домен gencoldfire[.]com был зарегистрирован 16 января 2024 года. Связи поддомена представлены на графе ниже.

Рис. 2. Граф связей поддомена mail[]gencoldfire[.]com

Ниже представлены обнаруженные на публичных песочницах конфигурации вредоносных семплов злоумышленника с использованием поддомена mail[.]gencoldfire[.]com.

Рис. 3. Конфигурация 1 ВПО с использованием поддомена mail[.]gencoldfire[.]com

Рис. 4. Конфигурация 2 ВПО с использованием поддомена mail[.]gencoldfire[.]com

Рис. 5. Конфигурация 3 ВПО с использованием поддомена mail[.]gencoldfire[.]com

Рис. 6. Конфигурация 4 ВПО с использованием поддомена mail[.]gencoldfire[.]com

Рис. 7. Конфигурация 5 ВПО с использованием поддомена mail[.]gencoldfire[.]com

Позднее, а именно 14 марта 2024 года, был зарегистрирован аналогичный домен apexrnun[.]com, используемый злоумышленником (поддомен: mail[.]apexrnun[.]com, IP-адрес: 185[.]196[.]9[.]150). Именно он активно продолжает фигурировать в выявленных за последнее время атаках на момент сентября 2024 года.Связи представлены на графе ниже.

Рис. 8. Граф связей поддомена mail[.]apexrnun[.]com

Ниже представлена обнаруженная конфигурация вредоносных семплов злоумышленника с использованием поддомена mail[.]apexrnun[.]com.

Рис. 9. Конфигурация ВПО с использованием поддомена mail[.]apexrnun[.]com

17 июня 2024 года был зарегистрирован домен mastersharks[.]com. Подобный предыдущим поддомен mail[.]mastersharks[.]com (IP-адрес: 185[.]196[.]9[.]228) использовался злоумышленником в выявленных атаках. Связи представлены на графе ниже.

Рис. 10. Граф связей поддомена mail[.]mastersharks[.]com

Ниже представлена обнаруженная конфигурация вредоносных семплов злоумышленника с использованием поддомена mail[.]mastersharks[.]com.

Рис. 11. Конфигурация ВПО с использованием поддомена mail[.]mastersharks[.]com

В более ранних атаках Narketing163 в 2023 году использовались семплы FormBook с конфигурациями, представленными ниже.

Рис. 12. Конфигурация 1 вредоносного семпла FormBook

Рис. 13. Конфигурация 2 вредоносного семпла Formbook

Также в нескольких обнаруженных атаках 2023 года злоумышленником, предположительно, использовались поддомены mail[.]tribosgroup[.]com и mail[.]azueresources[.]co.

Из обнаруженных в ходе исследования конфигураций вредоносных семплов атакующего были извлечены следующие электронные адреса:

• rocc@gencoldfire[.]com
• roycoo@gencoldfire[.]com
• bokce@gencoldfire[.]com
• rorock@gencoldfire[.]com
• testlab@apexrnun[.]com
• rock@mastersharks[.]com

По ссылкам, перечисленным ниже, открывались или открываются страницы авторизации в Roundcube — клиенте для работы с электронной почтой:

• hxxps://mail[.]gencoldfire[.]com/
• hxxps://mail[.]apexrnun[.]com/
• hxxps://mail[.]sturmsgroup[.]com/
• hxxps://mail[.]mastersharks[.]com/
• hxxps://webmail[.]gencoldfire[.]com/
• hxxps://webmail[.]apexrnun[.]com/
• hxxps://webmail[.]sturmsgroup[.]com/
• hxxps://webmail[.]mastersharks[.]com/

Подобный вид страницы имеют как минимум со следующих дат:

• hxxps://mail[.]gencoldfire[.]com/ (21 февраля 2024 года)
• hxxps://webmail[.]apexrnun[.]com/ (25 марта 2024 года)
• hxxps://mail[.]apexrnun[.]com/ (25 апреля 2024 года)

Cкриншот страницы авторизации представлен ниже.

Рис. 14. Страница авторизации в клиенте для работы с электронной почтой Roundcube

Примеры фишинговых писем

Ниже представлены примеры писем с обратным электронным адресом narketing163@gmail[.]com на русском, турецком и азербайджанском языках.

Рис. 15. Письмо с обратным электронным адресом narketing163@gmail[.]com на русском языке

Рис. 16. Письмо с обратным электронным адресом narketing163@gmail[.]com на турецком языке

Рис. 17. Письмо с обратным электронным адресом narketing163@gmail[.]com на азербайджанском языке

На следующем ниже скриншоте можно увидеть основную информацию из технических заголовков одного из писем.

Рис. 18. Информация из технических заголовков письма с обратным электронным адресом narketing163@gmail[.]com, полученная с помощью решения F.A.C.C.T. Business Email Proteсtion

Письма с обратным электронным адресом verconas@mail[.]com написаны на тех же трех языках, также было замечено одно письмо на английском языке. Скриншоты представлены ниже.

Рис. 19. Письмо с обратным электронным адресом verconas@mail[.]com на русском языке

Рис. 20. Письмо с обратным электронным адресом verconas@mail[.]com на турецком языке

Рис. 21. Письмо с обратным электронным адресом verconas@mail[.]com на азербайджанском языке

Рис. 22. Письмо с обратным электронным адресом verconas@mail[.]com на английском языке

В обнаруженных письмах с обратным электронным адресом tender12@mail[.]com тексты были написаны на турецком и азербайджанском языках, что представлено в примерах ниже.

Рис. 23. Письмо с обратным электронным адресом tender12@mail[.]com на турецком языке

Рис. 24. Письмо с обратным электронным адресом tender12@mail[.]com на азербайджанском языке

Тексты писем с последним известным на момент сентября 2024 года обратным электронным адресом злоумышленника kubrayesti@gmail[.]com были написаны на турецком языке, далее представлен пример письма.

Рис. 25. Письмо с обратным электронным адресом kubrayesti@gmail[.]com на турецком языке

Рекомендации по защите от фишинговых атак

Чтобы защититься от подобного рода фишинговых атак, специалисты F.A.C.C.T. рекомендуют:

1. Использовать программные решения для защиты электронной почты, обнаружения и реагирования на киберугрозы и проактивного анализа киберугроз. Рекомендуем ознакомиться с возможностями продуктов F.A.C.C.T., реализующих данные меры: Business Email Protection, Managed XDR и Threat Intelligence.
2. Регулярно обновлять установленное программное обеспечение.
3. Проводить обучение сотрудников и тестовые фишинговые атаки.

При отсутствии специализированных программных решений для борьбы с фишинговыми угрозами корпоративным пользователям следует обращать внимание на следующие важные детали электронных писем, которые в совокупности помогут выявить фишинг:

1. Ожидаемость письма (было ли известно заранее о полученении подобного письма, соответствует ли оно специфике деятельности компании).
2. Язык письма (если компания редко работает с иностранными клиентами/партнерами или не работает вовсе, то факт получения письма на иностранном языке должен сразу насторожить).
3. Срочность просьбы (в первом примере письма, приведенном ранее, в теме указано «СРОЧНЫЙ ЗАПРОС», такой метод часто используется в фишинговых атаках для манипулирования пользователями).
4. Конкретика текста писем (очень часто фишинговые атаки проводят с типовыми текстами, которые универсально подходят под разные компании, поэтому отсутствие индивидуальности и упоминания названия, сотрудников, продукции адресуемой компании тоже можно расценивать как один из признаков фишинга).
5. Орфографические ошибки (часто используются злоумышленниками для обхода спам-фильтров).
6. Подозрительный адрес электронной почты отправителя (зачастую злоумышленник использует скомпрометированные почтовые аккаунты, подменяет адрес электронной почты отправителя или создает почтовые домены, похожие на существующие для имитации активности от лица какой-либо компании, но если он не постарался мимикрировать, то это будет заметно по нетипичному домену в адресе электронной почты; при сомнениях всегда можно посмотреть примеры электронных адресов компаний на их официальных сайтах).
7. Ссылки в письмах на сайты без SSL-сертификата (с аббревиатурой http вместо https) или с подозрительными доменами (по таким ссылкам нельзя переходить, а если есть сомнения, то проверять легитимность доменов в поисковых системах).
8. Вложения (не скачивать файлы от недоверенных источников).

MITRE ATT&CK

Индикаторы компрометации

Сетевые индикаторы

URLs:

• hxxps://mail[.]gencoldfire[.]com/
• hxxps://mail[.]apexrnun[.]com/
• hxxps://mail[.]mastersharks[.]com/
• hxxps://mail[.]sturmsgroup[.]com/
• hxxps://webmail[.]gencoldfire[.]com/
• hxxps://webmail[.]apexrnun[.]com/
• hxxps://webmail[.]mastersharks[.]com/
• hxxps://webmail[.]sturmsgroup[.]com/
• hxxp://www[.]dutchhoward[.]com/r08c/
• hxxp://www[.]polybreadphx[.]com/b0y4/

Домены:

• mail[.]gencoldfire[.]com
• webmail[.]gencoldfire[.]com
• cp[.]gencoldfire[.]com
• gencoldfire[.]com
• mail[.]apexrnun[.]com
• webmail[.]apexrnun[.]com
• cp[.]apexrnun[.]com
• apexrnun[.]com
• mail[.]mastersharks[.]com
• webmail[.]mastersharks[.]com
• cp[.]mastersharks[.]com
• mastersharks[.]com
• mail[.]sturmsgroup[.]com
• webmail[.]sturmsgroup[.]com
• cp[.]sturmsgroup[.]com
• sturmsgroup[.]com

IP-адреса:

• 185[.]196[.]11[.]12
• 185[.]196[.]9[.]150
• 185[.]196[.]9[.]228
• 185[.]28[.]39[.]41

Файловые индикаторы