Проукраинская группа Sticky Werewolf, специализирующаяся на кибершпионаже, похоже, отправилась на гастроли: после недавней атаки на компании в Беларуси, злоумышленники нацелились и на организации Польши. В новой атаке Sticky Werewolf, как установили эксперты департамента Threat Intelligence компании F.A.C.C.T., использовался модифицированный вариант трояна удаленного доступа Darktrack RAT. Начальный вектор атаки 12 февраля этого года в 15:28:33 UTC по веб-интерфейсу из Польши (г. Тшебница) на VirusTotal была загружена ссылка (URL): hxxps://share-files[.]pl/Wezwanie_swiadka.pdf Кстати, домен share-files[.]pl имеет польский домен первого уровня - ".pl". Известно, что злоумышленники из группировки Sticky Werewolf в качестве первоначального вектора проникновения используют фишинговые письма, содержащие ссылку на загрузку вредоносного исполняемого файла. В рамках анализа данной атаки экспертам Threat Intelligence была доступна только ссылка hxxps://share-files[.]pl/Wezwanie_swiadka.pdf, которая должна содержаться в теле такого фишингового письма. При переходе по ссылке hxxps://share-files[.]pl/Wezwanie_swiadka.pdf происходит переадресация на другой ресурс hxxps://store10[.]gofile[.]io/download/direct/a54ae153-8cea-479f-b9fe-1994a349216c/Wezwanie_swiadka.pdf.exe и загружается исполняемый файл Wezwanie_swiadka.pdf.exe. Окно загрузки вредоносного файла Пользователь должен запустить загруженный исполняемый файл, чтобы произошла компрометация. SFX-архив и полезная нагрузка Файл Wezwanie_swiadka.pdf.exe представляет собой самораспаковывающийся архив (SFX), подготовленный в NSIS Installer. Wezwanie_swiadka.pdf.exe содержит файл-приманку Wezwanie_swiadka.pdf и исполняемый файл MicroWord.exe. Содержимое файла-приманки Wezwanie_swiadka.pdf Стоит отметить, что злоумышленники могли скачать файл-приманку для использования в атаке по ссылке hxxps://edu[.]cba[.]gov[.]pl/DU_CBA/2008/2/22/Zalacznik46.pdf (файл-приманка совпал по хеш-сумме). На скриншоте ниже представлен фрагмент NSIS-скрипта SFX-архива Wezwanie_swiadka.pdf.exe. Фрагмент NSIS-скрипта SFX-архива После запуска пользователем указанного SFX-архива происходит: создание и запуск файла %TEMP%\MicroWord.exe; создание и открытие файла-приманки %TEMP%\Wezwanie_swiadka.pdf; создание ярлыка %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\FlashUpdate.lnk, который будет запускать файл %TEMP%\FlashUpdate.exe после перезапуска системы. Стоит отметить, что злоумышленники могли допустить ошибку в NSIS-скрипте, т.к. файл-ярлык FlashUpdate.lnk ссылается на несуществующий файл FlashUpdate.exe. MicroWord.exe Полезная нагрузка – файл MicroWord.exe, защищенный протектором Themida и представляющий модифицированный вариант Darktrack RAT - трояна удаленного доступа (RAT), разработанного на Delphi. Данная вредоносная программа взаимодействует с управляющим сервером 46[.]246[.]97[.]61:7412, создает мьютекс с уникальным именем E4B6tMOXArC4kQ36, а также создает лог-файл klog.dat для записи перехваченной информации, введенной пользователем с клавиатуры. Индикаторы компрометации Wezwanie_swiadka.pdf.exe MD5: d7ff05311350b4990ccd642a44679d1d SHA-1: 4aabffec8b6be99324f8d589e73ed0f433054118 SHA-256: 9f942f1efb3644e13aca6188c7da9270d02f956155fba3cba21b6d81dfd995a7 MicroWord.exe MD5: 542678c60cf6de9e6ca876e102b233e6 SHA-1: 3bf367ed7b05042eb268c87240690b4cdacabbe0 SHA-256: 9a03cfe1174b0921a10ffd389c6c152b0c0a2c9dd53195d55a9fd1f75d81b702 Файлы: %TEMP%\MicroWord.exe %TEMP%\Wezwanie_swiadka.pdf %TEMP%\klog.dat %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\FlashUpdate.lnk Мьютекс: E4B6tMOXArC4kQ36 URLs: hxxps://share-files[.]pl/Wezwanie_swiadka.pdf hxxps://store10.gofile[.]io/download/direct/a54ae153-8cea-479f-b9fe 1994a349216c/Wezwanie_swiadka.pdf.exe Домен: share-files[.]pl IP-адрес: 46.246.97[.]61:7412 14.02.2024 https://habr.com/ru/companies/f_a_c_c_t/news/793418/
