За сентябрь зафиксирован ряд фишинговых рассылок в рамках кампании по заражению вредоносным программным обеспечением (далее – ВПО) пользователей национального сегмента сети Интернет. Об одной из них мы рассказывали в предыдущей статье.
Основываясь на результатах анализа данных, полученных в ходе исследования экземпляров ВПО, можно предположить, что атаки проводятся ранее неизвестной правительственной хакерской группировкой XDSpy. О ее обнаружении недавно сообщила компания ESET на конференции VB2020 localhost.
Впервые CERT.BY обнаружил рассылку подобного ВПО в начале 2020 года. С тех пор немного изменился вид вредоносного вложения в фишинговых письмах и был добавлен новый функционал по защите от обнаружения на компьютере жертвы.
В таблице ниже приведены общие признаки экземпляров из февральской и последней кампаний, а также некоторые новые особенности
| Параметр | Февраль 2020 | Сентябрь 2020 |
| Какие компоненты содержал | VBScript, JScript | VBScript, JScript.Encode |
| Язык и фреймворк разработки ВПО | C/C++ Visual Studio 2015 14.0 | |
| Механизм замены домена | Считывает файл C:\Users\<user>\AppData\Roaming\MediaSettings\sset.dat. Данные из файла xor с 0x2d. | Считывает файл C:\Users\<user>\AppData\Roaming\MicrosoftNotes\sset.dat. Данные из файла xor с 0x2d. |
| Механизм загрузки модулей | Оправляет две тройки запросов, тело ответа склеивается в один массив. Данные по 2 байта xor с 0x31 0x73. Декодированный массив проверяется на наличие сигнатуры исполняемого файла, (MZ 5d 4a). Данные записываются на диск в файл в папке C:\Users\<user>\AppData\Roaming\MediaSettings\ | Оправляет два запроса. Тело ответа по 2 байта xor с 0x31 0x73. Декодированный массив проверяется на наличие сигнатуры исполняемого файла, (MZ 5d 4a). Данные записываются на диск в файл: C:\Users\<user>\AppData\Roaming\MicrosoftNotes\diabc.htm |
| Механизм закрепления в системе | ВПО создаёт файл C:\Users\user\AppData\Local\Temp\rev.vbs. Содержание приложение 3.1. Скрипт запускается через wscript.exe. Скрипт добавляет запись в реестр на авто запуск. В зависимости от версии меняется имя записи и название исполняемого файла. | ВПО создаёт файл C:\Users\user\AppData\Local\Temp\rev.vbs. Содержание приложение 3.1. Скрипт запускается через wscript.exe. Скрипт добавляет запись в реестр на авто запуск. В зависимости от версии меняется имя записи и название исполняемого файла. |
| Механизмы защиты | Зацикливание с паузой в коде программы при некорректном запуске. Проверка наличия антивируса Norton Security, если антивирус установлен, то работа прекращается. | Определение процесса отладки приложения. Если приложение запустить режиме отладки, то оно аварийно завершается. Вызов исключения (деление на 0) и зацикливание с паузой в коде программы при некорректном запуске. Проверяет наличие ативирусов: Bitdefend, Norton Security, AVAST, ESET, McAfee, Kaspersky, Sophos). |
В ходе расследования инцидента с фишинговыми рассылками описанной кампании установлены новые адресаты рассылки, а так же признаки писем и заражения.
Среди целей злоумышленников по-прежнему встречаются сотрудники предприятий частного и государственного секторов различной направленности, а также силовых ведомств, госорганов и организаций.
Отправители (могут отличаться):
- services-emails@mail.ru;
- galochkin.vitaliy@bk.ru;
- и некоторые из представленного ранее списка.
Темы сообщений:
- Проект документа с фотоматериалами;
- Как подать заявление в суд.
Названия ссылок (орфография авторов сохранена):
- Пожалуйста нажмите здес чтобы скачать копию письма;
- zayavleniye.zip;
- fotomaterialy.zip.
URLs (ID — идентификатор, который часто меняется):
- https://download-world[.]com/download-file/download.php?u=<ID>;
- https://download-archive[.]net/download-mail/download.php?u=<ID>;
- https://download-archive[.]net/download-mail/download.php?u=<ID>;
- и некоторые из представленного ранее списка.
Адрес командного центра ВПО (C&C):
- http://ferrariframework[.]com;
- 91.235.116.232.
