Проукраинская группа Sticky Werewolf, специализирующаяся на кибершпионаже, похоже, отправилась на гастроли: после недавней атаки на компании в Беларуси, злоумышленники нацелились и на организации Польши. В новой атаке Sticky Werewolf, как установили эксперты департамента Threat Intelligence компании F.A.C.C.T., использовался модифицированный вариант трояна удаленного доступа Darktrack RAT.
Начальный вектор атаки
12 февраля этого года в 15:28:33 UTC по веб-интерфейсу из Польши (г. Тшебница) на VirusTotal была загружена ссылка (URL):
hxxps://share-files[.]pl/Wezwanie_swiadka.pdf
Кстати, домен share-files[.]pl имеет польский домен первого уровня - ".pl".
Известно, что злоумышленники из группировки Sticky Werewolf в качестве первоначального вектора проникновения используют фишинговые письма, содержащие ссылку на загрузку вредоносного исполняемого файла. В рамках анализа данной атаки экспертам Threat Intelligence была доступна только ссылка hxxps://share-files[.]pl/Wezwanie_swiadka.pdf, которая должна содержаться в теле такого фишингового письма.
При переходе по ссылке hxxps://share-files[.]pl/Wezwanie_swiadka.pdf происходит переадресация на другой ресурс hxxps://store10[.]gofile[.]io/download/direct/a54ae153-8cea-479f-b9fe-1994a349216c/Wezwanie_swiadka.pdf.exe и загружается исполняемый файл Wezwanie_swiadka.pdf.exe.
Пользователь должен запустить загруженный исполняемый файл, чтобы произошла компрометация.
SFX-архив и полезная нагрузка
Файл Wezwanie_swiadka.pdf.exe представляет собой самораспаковывающийся архив (SFX), подготовленный в NSIS Installer. Wezwanie_swiadka.pdf.exe содержит файл-приманку Wezwanie_swiadka.pdf и исполняемый файл MicroWord.exe.
Стоит отметить, что злоумышленники могли скачать файл-приманку для использования в атаке по ссылке hxxps://edu[.]cba[.]gov[.]pl/DU_CBA/2008/2/22/Zalacznik46.pdf (файл-приманка совпал по хеш-сумме).
На скриншоте ниже представлен фрагмент NSIS-скрипта SFX-архива Wezwanie_swiadka.pdf.exe.
После запуска пользователем указанного SFX-архива происходит:
создание и запуск файла %TEMP%\MicroWord.exe;
создание и открытие файла-приманки %TEMP%\Wezwanie_swiadka.pdf;
создание ярлыка %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\FlashUpdate.lnk, который будет запускать файл %TEMP%\FlashUpdate.exe после перезапуска системы.
Стоит отметить, что злоумышленники могли допустить ошибку в NSIS-скрипте, т.к. файл-ярлык FlashUpdate.lnk ссылается на несуществующий файл FlashUpdate.exe.
MicroWord.exe
Полезная нагрузка – файл MicroWord.exe, защищенный протектором Themida и представляющий модифицированный вариант Darktrack RAT - трояна удаленного доступа (RAT), разработанного на Delphi.
Данная вредоносная программа взаимодействует с управляющим сервером 46[.]246[.]97[.]61:7412, создает мьютекс с уникальным именем E4B6tMOXArC4kQ36, а также создает лог-файл klog.dat для записи перехваченной информации, введенной пользователем с клавиатуры.
Напомним, что Sticky Werewolf — это кибершпионская группа, атакующая госучреждения и финансовые компании в России и Белоруссии. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация RedLine Stealer).
В декабре 2023 года Sticky Werewolf дважды атаковали через почтовые рассылки российскую фарму, прикрываясь Министерством по чрезвычайным ситуациям и Минстроем, а в январе 2024 года атаковала российские организация фейковыми письмами, якобы от имени ФСБ.
Индикаторы компрометации
Wezwanie_swiadka.pdf.exe
MD5: d7ff05311350b4990ccd642a44679d1d
SHA-1: 4aabffec8b6be99324f8d589e73ed0f433054118
SHA-256: 9f942f1efb3644e13aca6188c7da9270d02f956155fba3cba21b6d81dfd995a7
MicroWord.exe
MD5: 542678c60cf6de9e6ca876e102b233e6
SHA-1: 3bf367ed7b05042eb268c87240690b4cdacabbe0
SHA-256: 9a03cfe1174b0921a10ffd389c6c152b0c0a2c9dd53195d55a9fd1f75d81b702
Файлы:
%TEMP%\MicroWord.exe
%TEMP%\Wezwanie_swiadka.pdf
%TEMP%\klog.dat
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\FlashUpdate.lnk
Мьютекс:
E4B6tMOXArC4kQ36
URLs:
hxxps://share-files[.]pl/Wezwanie_swiadka.pdf
hxxps://store10.gofile[.]io/download/direct/a54ae153-8cea-479f-b9fe
1994a349216c/Wezwanie_swiadka.pdf.exe
Домен:
share-files[.]pl
IP-адрес:
46.246.97[.]61:7412
