Призрачный Gist 😏

В марте специалисты киберразведки PT ESC зафиксировали активность группировки Rare Werewolf (Rezet, Librarian Ghouls). На этот раз был обнаружен архив data.zip, содержащий следующую структуру файлов:

• Структура компании1111.docx
• any_svc.exe
• clean.ps1
• deploy.ps1
• hider.exe
• monitor.ps1
• run.bat
• svc.conf

🤔 Кратко разберем назначение каждого из файлов

Структура компании1111.docx — документ-приманка, пример которого можно видеть на скриншоте 1. any_svc.exe — исполняемый файл AnyDesk, а svc.conf — файл с конфигурацией AnyDesk. hider.exe — исполняемый файл NirCmd.

Однако самая интересная часть — цепочка PowerShell-скриптов, которая запускается через скрипт run.bat. Файл clean.ps1 отвечает за удаление уже установленных экземпляров AnyDesk на системе жертвы (пример скрипта можно видеть на скриншоте 2). Код скрипта останавливает все рабочие процессы и пытается найти установленное приложение по стандартным путям в файловой системе и реестре.

После очистки запускается файл deploy.ps1 (скриншот 3). Алгоритм работы скрипта следующий:

1️⃣ Подготовка директорий и конфигурации для закрепления AnyDesk (список директорий будет ниже)

2️⃣ Установка для всех файлов конфигурации прав доступа ReadOnly

3️⃣ Запуск исполняемых файлов any_svc.exe и hider.exe

4️⃣ Получение AnyDesk ID через команду --get-id

5️⃣ Отправка полученного ID в heartbeat-запросе на Gist-страницу на GitHub (скриншот 4) в виде комментария. Для отправки подобного запроса используется API-ссылка https://api.github.com/gists/
<gist-id>/comments, где gist-id — идентификатор заметки, который находится в скрипте. Сам комментарий можно увидеть далее.

6️⃣ Формирование LNK-файла SystemCheck.lnk в папке автозагрузки, который запускает скрипт monitor.ps1

monitor.ps1 (скриншот 5) — это скрипт, который использует команды NirCmd для сокрытия окон процессов any_svc.exe и AnyDesk.exe. В случае, если процесс any_svc.exe не запущен, hider.exe его запускает. Помимо этого, скрипт используется для автоматического нажатия кнопок в окнах с заголовками «Оповещение системы безопасности», то есть кнопок в окне уведомлений брандмауэра Windows. Примечательно, что в коде скрипта заголовок окна указан на трех языках — русском, английском и украинском.

😲 Остается важный вопрос: откуда вообще взялся data.zip? Не его же отправляют в фишинговом письме. Давайте ответим и на этот вопрос.

На основе поиска схожих с deploy.ps1 скриптов был найден load.ps1, который находился в другом архиве (скриншот 6). И уже по новому архиву был найден родительский файл — исполняемый файл на C# (фрагмент на скриншоте 7), который расшифровывает байты архива и помещает его в систему жертвы.

Расшифровка идет в два этапа. Во-первых, массив байтов проходит через операцию XOR с ключом длиной 8 байтов. Затем в массиве декодированных данных ищется заголовок ZIP-архива, и подменяется байт заголовка, отвечающий за метод сжатия (выставляется метод Deflate). Все действия проходят во временной директории, туда же в отдельный файл ghost_trace.log записываются логи работы дроппера.

NEW TARGET: ID=$cid | PC=$cn | USER=$un
# cid = идентификатор AnyDesk-ID
# cn - имя компьютера ($env:COMPUTERNAME)
# un - имя пользователя ($env:USERNAME)

IoCs

Дроппер:
c6663dec26224dd3566b4967e9440a7c865ee96af898a444771ba90d033afa55

Архивы:
e7302d00c3bef6ff247a37260abdd5ff7eca7c3225b43f56abf3950cc86bf3a8
ca32442aecd8b050dabb5585955df292c4c5b3a9384b90b3377eca3c6200ed21

Powershell-скрипты с обращением на GitHub:
20843993517d8930a56445554b9c93615e4dbaeb6ac66131f2920ea0c966e194
63cf2d21091ca3041f51d3b50f84056909cd44996202557f9161895335e3271c

IOA

%LocalAppData%\GhostExt
%LocalAppData%\GhostExt\svc.conf
%LocalAppData%\GhostExt\service.conf
%LocalAppData%\GhostExt\any_svc.exe
%LocalAppData%\GhostExt\hider.exe

%TEMP%\GhostExt\ghost_trace.log
%TEMP%\GhostExt\data.zip

%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\SystemCheck.lnk

#TI #Malware #APT
@ptescalator (X, Max)

Пятничная рассылка 🐽

Представьте: вы — сотрудник одной российской организации, и вам в пятницу некая Надежда Артуровна 😌 присылает письмо (скриншот 1) с просьбой пройти опрос. Как всегда, сотрудник федерального предприятия просит все и в кратчайшие сроки. Ваши действия? 🤔

Если вы поверите лжесотруднику и попробуете пройти опрос, то внутри архива вас будет ждать одноименный файл Опросный_лист_ЦРП_ВПК_Предзаполненны.xll (вы же тоже заметили ошибку?). Он является DLL-кой — специальным модулем Microsoft Excel. При открытии xll-файла происходит дроп и запуск вредоносной нагрузки %LOCALAPPDATA%\\Comms\\mspm.exe, в то время как вы, ничего не подозревая, будете видеть только таблицу-приманку %USERPROFILE%\\Documents\\Tablica1.xls (скриншот 2) 😶

Но мы искренне надеемся, что, несмотря на пятницу, вы бдительны 👓. Ведь сама нагрузка является ИИ-сгенерированным бэкдором WarpPlugin, он же EchoGather — известный инструмент GOFFEE. В его основные возможности входит:

🐾 выполнение CMD-команд для управления и изучения компьютера жертвы
🐾 выгрузка файлов с этой системы
🐾 загрузка присланных GOFFEE файлов на эту систему

Подобного рода активность мы наблюдаем с конца прошлого года 😏. GOFFEE рьяно пользуются ИИ-агентами, постоянно генерируя ими новые файлы-приманки и вариации бэкдоров WarpPlugin. Не обходятся злоумышленники и без постоянной генерации новых имен для адресов C2.

IoCs

9c189eb72315960a6bc10d25dc8f8808f9ed13088951bae37ca0d7502fec8e10
1b6dd18db3da8b9df1c3ca99a2de0a0296ce7c5f92c2f6a6a8831d0e4f61aed1
b02c4d355a1c8f3209f62221b2bafcfefa3ab1444461a209fdcd75fa04f4fb1e
f75b3e37c9683d4862e71ef204fd4128169168ce22e2722618b9aed69bf6add0
https://ntp.report/api/v4/projects/report/now

#Malware #TI #APT
@ptescalator

Библиотека-логгер и инфостилер в придачу? Спасибо, не надо 👋

За последнее время произошло немало событий. Например, кто-то решил поиграть в меценатство и опубликовал 30 релизов с именами NPM-библиотек для логирования:

• @logcore/pino-pretty-logger
• console-loggers
• jellyfi-pino-pretty-logger
• jonas-prettier-logger
• logger-beauty
• pino-logger-utils
• pino-pretty-log
• pino-pretty-logger
• pretty-pino-logger
• pretty-ts-logger
• ts-moduler
• wrapped-logger-utils

Это не просто спам-кампания: эти библиотеки несут в себе инфостилер и бэкдор.

Нам даже удалось в этот раз кому-то уступить в борьбе за звание «самая быстрая рука на диком опенсорсе» — первыми зарепортили лишь 5 из 12 пакетов 🥺

Кампания использует обфускацию. Изначально злоумышленник защищал только имена переменных, но затем стал XOR-ить строки (скриншоты 1, 2).

Вредоносная логика активируется во время импорта библиотеки:

1️⃣Определение ОС жертвы и сбор базовой информации о системе (IP-адрес сетевого устройства, имя пользователя).

2️⃣Параллельное выполнение двух задач:

🔗Быстрая кража: отправление на сервер злоумышленника файла .env, если он есть в текущей рабочей директории.

🔗Обход домашней директории в поисках файлов с расширениями .env / .json. В коде есть небольшая оптимизация — при обходе будут пропущены следующие папки:

'node_modules', 'Library', 'System', 'Windows', 'Program Files', 'ProgramData',
'build', 'dist', 'out', 'output', 'release', 'bin', 'obj', 'Debug', 'Release',
'target', 'target2', 'public', 'private', 'tmp', 'temp', 'var', 'cache', 'log',
'logs', 'sample', 'samples',
'assets', 'media', 'fonts', 'icons', 'images', 'img', 'static', 'resources', 'audio', 'videos', 'video', 'music',
'svn', 'cvs', 'hg', 'mercurial', 'registry',
'__MACOSX', 'vscode', 'eslint', 'prettier', 'yarn', 'pnpm', 'next',
'pkg', 'move', 'rustup', 'toolchains',
'migrations', 'snapshots', 'ssh', 'socket.io', 'svelte-kit', 'vite',
'coverage', 'history', 'terraform'

Пользователям Linux особенно не повезет: им в ~/.ssh/authorized_keys закинут новый публичный SSH-ключ. При работающем сервисе sshd и разрешении использовать ssh-ключ для текущего пользователя позволит злоумышленнику подключаться к устройству 😍

Под Windows помимо обхода домашней директории стилер пройдется по всем подключенным дискам.

3️⃣Отправка всех собранных данных на сервер злоумышленника.

———

В версиях пакета, где применяется более продвинутая обфускация, злоумышленник уточняет, какие конкретно файлы ему нужны:

const ENV_LIKE_FILES = new Set([
    '.env', '.env.local', '.env.production', '.env.development',
    '.config', '.npmrc', '.pypirc', '.git-credentials', 'wallet.dat', 'id.json', 'key.json', 'keystore/*.json',
]);
const JSON_LIKE_FILES = new Set(['config.json', 'settings.json', 'secrets.json']);

Вероятно, это связано с большим количеством мусора при сборе всех json-файлов.

Также добавилась кража директории tdata, содержащей данные сессии Telegram 🤢

———

Дежурное напоминание: не ослабляйте бдительность при работе с опенсорс-проектами 😑

#npm #ti #scs #pyanalysis
@ptescalator (X, Max)