Невидимые связи: специалисты F.A.C.C.T. обнаружили ранее неизвестный загрузчик PhantomDL и атрибутировали его группе PhantomCore

Начиная с марта 2024, специалисты F.A.C.C.T Threat Intelligence детектируют ранее неизвестный загрузчик PhantomDL (PhantomGoDownloader). Анализ обнаруженных образцов позволил установить ряд связей с группой PhantomCore, на основе которых мы с высокой уверенностью атрибутируем PhantomDL к этой же группировке.

Напомним, что PhantomCore – группа кибершпионов, действующая с начала 2024 года против российских организаций, была впервые раскрыта и описана в отчете исследователями компании F.A.C.C.T. Первоначальный вектор распространения не был установлен, однако в упомянутом выше исследовании отмечалось, что группа рассылала фишинговые письма с запароленными вредоносными архивами во вложении и паролем в тексте письма. Мы полагаем, что для распространения PhantomDL также использовались фишинговые рассылки с вложенным архивом.

В конце марта специалисты  F.A.C.C.T Threat Intelligence обнаружили на платформе VirusTotal исполняемый файл с именем «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» и запароленный RAR-архив «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar». Исследователям удалось сбрутить используемый пароль для архива: «11112222». Оказалось, что архив включает в себя указанный исполняемый файл и легитимный PDF-файл, являющийся документом-приманкой с таким же именем (рис. 1).

Рис. 1 – содержимое архива «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar»

Документ-приманка (рис. 2) содержит информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли.

Рис. 2 – содержимое документа-приманки «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf»

Злоумышленники эксплуатируют вариацию уязвимости WinRAR — CVE-2023-38831, в которой вместо ZIP-архивов используются RAR-архивы. Таким образом, если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива. В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл.

Обнаруженный исполняемый файл является загрузчиком, написанным на языке Go, для обфускации которого, предположительно, использовалась утилита garble. Сначала загрузчик получает имя компьютера / домена жертвы с помощью команды:

• cmd.exe /c «echo %USERDOMAIN%».

Затем загрузчик выполняет HTTP POST-запрос к серверу hxxp://188.127.227[.]201/check и передает сгенерированный uuid и имя компьютера / домена жертвы. В случае, если SYN-запросы отправляются не с российского IP-адреса, соединение будет разорвано (RST). Если от сервера приходит ответ 200 OK ненулевой длины, то загрузчик выполнит одну из двух команд:

• install – включает в себя последовательность действий:
  • отправить запрос на сетевой адрес hxxp://188.127.227[.]201/start;
  • получить в ответ от сервера URL;
  • загрузить следующую стадию (нагрузку) с полученного URL, сохранить под указанным именем в каталог %APPDATA%\Microsoft\Windows, запустить нагрузку;
  • выполнить запрос после завершения на сетевой адрес hxxp://188.127.227[.]201/end.
• bay – завершить работу.

Помимо этого, 26 марта на VirusTotal был загружен еще один архив с паролем «11112222», содержащий файлы:

• «Информация по договору.pdf .exe» — загрузчик на Go с той же хэш-суммой, что и файл «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» (SHA-1: d6a7b11b0f71cb3ea14a4c89d2d742a90a05bf3c);
• «Информация по договору.pdf» – легитимный PDF-файл, являющийся документом-приманкой, содержимое которого представлено на рис. 3, отметим, что само содержимое документа-приманки не соответствует его названию.

Рис. 3 – содержимое документа-приманки «Информация по договору.pdf»

Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика нашим специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов. Это позволило получить название проекта D:\github\phantomDL и присвоить этому загрузчику имя PhantomDL.

Обнаруженный образец «Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контракт.pdf .exe» был загружен на VirusTotal 2 мая 2024 года. Файл распространялся в архиве с именем «Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контрак.rar». Содержимое архива представлено на рис. 4.

Рис. 4 – содержимое архива «Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контрак.rar»

Содержимое документов-приманок из архива представлено на рис. 5 и рис. 6.

Образец поддерживает те же команды, что и более ранняя версия загрузчика: bay, install. Но в качестве сервера управления (C2) используется другой IP-адрес: 91.219.151[.]47. Среди изменений можно отметить, что в новом образце были заменены названия страниц для отправки запросов на сервер. Сравнительная таблица для двух файлов PhantomDL представлена ниже.

Атрибуция загрузчика PhantomDL группе PhantomCore

Анализ обнаруженных образцов позволил нашим исследователям связать данную активность с группой PhantomCore по следующим причинам:

• PhantomCore — первая среди известных на сегодняшний день группировок, эксплуатирующих CVE-2023-38831, в которой вместо ZIP-архивов используются RAR-архивы. В ходе атак, основанных на использовании загрузчика PhantomDL, также эксплуатируется эта уязвимость в RAR-архивах.
• Общая нацеленность на Россию и, вероятно, на сферы, связанные с ВПК.
• Схожие темы в документах-приманках, где указаны акты по взаимным работам двух организаций, в частности: «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf», «Акт № 255.docx» и «Акт сверки.pdf» у PhantomCore. Стоит отметить, что документ-приманка отобразится только в том случае, если у целевой организации установлена программа WinRAR версии 6.23 или выше.
• Пересечения в именованиях файлов и паролей к архивам из разных атак:
  • группа PhantomCore в первой известной атаке в январе 2024 года использовала архив «Информация по договору.rar» с паролем «1111», в архиве был PhantomCore.Downloader, загружающий PhantomRAT. Имя документа-приманки в архиве: «Пример формы для заполнения.pdf»;
  • в марте 2024 года был обнаружен первый образец загрузчика PhantomDL с именем «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe», который распространялся в архиве с паролем «11112222»;
  • также в марте найден другой архив с таким же паролем «11112222», загрузчиком PhantomDL с той же хэш-суммой, что имел образец из предыдущего пункта, но с отличающимися именами файлов: «Информация по договору.pdf», «Информация по договору.pdf\Информация по договору.pdf .exe». Таким образом, можно отметить, что имена файлов из этого архива, пересекаются с названием архива из первой атаки PhantomCore «Информация по договору.rar», кроме того пароли к архивам в этих двух активностях частично пересекаются («11112222» и «1111»).
• Пересечения в имени PDB-путей модулей PhantomRAT группы PhantomCore  (рис.7 слева) и в имени путей Go-файлов проекта загрузчика PhantomDL (рис.7 справа).

Рис. 7 – PDB-пути PhantomRAT (слева) и пути Go-файлов проекта загрузчика PhantomDL (справа)

• Пересечения в именах классов и методов между трояном удаленного доступа PhantomRAT (рис. 8 слева) и загрузчиком PhantomDL (рис. 8 справа).

Рис. 8 – строки кода PhantomRAT (слева) и PhantomDL (справа)

• Схожие названия для переменной, хранящей адрес управляющего сервера, в конфигурации:  у PhantomRAT — «PRIMARY_END_POINT», а у PhantomDL — «PrimaryIP».

Выводы

На основании изложенных причин, специалисты  Threat Intelligence F.A.C.C.T. с высокой долей уверенности связывают обнаруженный загрузчик PhantomDL с PhantomCore. Очевидно, что группа активно развивает свой инструментарий и переходит от стадии тестирования к наступлению. Если в первых атаках злоумышленники использовали простой загрузчик PhantomCore.Downloader, а специалисты обнаруживали в публичных песочницах тестовые образцы, то уже спустя месяц с момента обнаружения произошел переход к более сложному загрузчику PhantomDL. Отдельно стоит отметить, что злоумышленники используют качественные документы-приманки, содержимое которых может свидетельствовать о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.

Индикаторы компрометации

MITRE ATT&CK®