Кибершпионская APT-группа Sticky Werewolf, вероятно, попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного доступа Ozone RAT. Напомним, что в конце января в России перестали работать антивирус Avast и программа очистки CCleaner — по этой причине старые чешские программы стали опять на слуху, чем решили, видимо, воспользоваться атакующие.
В пятницу, 9 февраля, с разницей в 5 минут на платформу VirusTotal были загружены сначала вредоносная ссылка, а затем самораспаковывающийся архив (SFX), скачиваемый по ней. Так как ссылка и SFX-архив были загружены из одного источника, аналитики полагают, что потенциальная цель атаки Sticky Werewolf может располагаться в Республике Беларусь.
Исследователей из департамента Threat Intelligence компании F.A.C.C.T. привлек необычно большой размер скачиваемого файла — 75.7 МБ. Дело в том, что на этот раз в качестве приманки использовался не легковесный документ, а установщик CCleaner — программы для очистки и оптимизации Windows, который и увеличил размер SFX-архива.
Сам SFX-архив с именем ccleaner_downloads.exe был подготовлен в NSIS Installer и, помимо вышеупомянутого установщика CCleaner, содержит SFX-архив ChemExamples.exe, подготовленный в 7z. В нем — файлы и обфуцированный BAT-файл, собирающий из них легитимный интерпретатор AutoIt и обфусцированный AutoIt-скрипт. После запуска AutoIt-скрипта в память процесса ipconfig.exe внедряется вредоносная программа, представляющая из себя модуль загрузки трояна удаленного доступа Ozone RAT.
Напомним, что Sticky Werewolf — это кибершпионская группа, атакующая госучреждения и финансовые компании в России и Белоруссии. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, а также стилер MetaStealer (вариация RedLine Stealer).
В декабре 2023 года Sticky Werewolf дважды атаковали через почтовые рассылки российскую фарму, прикрываясь Министерством по чрезвычайным ситуациям и Минстроем, а в январе 2024 года атаковала российские организация фейковыми письмами, якобы от имени ФСБ.
Индикаторы компрометации:
ccleaner_downloads.exe
MD5: bf3eafa83b3bdee1f42cc9fb3bd66eb0
SHA-1: ca65a505196383e9bd06500e2d80cd2219191969
SHA-256: a015790f512784ec1e552402c60c402d6ff292143ab888811cd8bb70da572860
ChemExamples.exe
MD5: d8c6199b414bdf298b6a774e60515ba5
SHA-1: 3436370107bb02f0966acc2d104ed1edc99a1896
SHA-256: e50987f5f13de4a552778a691032d9fce3a102bfad3fb5b7edc4c48d2aa3b4f2
g, h
MD5: b579010d05f9af4884d64d9ea74a10f1
SHA-1: 562b7eae0b178ba3ea502b10a5137af5049469e6
SHA-256: fe7c1337ecc319a62d325c720c24bd953f2ac51c72ba456aff16894b958f24b5
Файлы:
%TEMP%\ccsetup620.exe
%TEMP%\ChemExamples.exe
%TEMP%\7ZipSfx.000\Bailey
%TEMP%\7ZipSfx.000\Biz
%TEMP%\7ZipSfx.000\Closest
%TEMP%\7ZipSfx.000\Debug
%TEMP%\7ZipSfx.000\Monitored
%TEMP%\7ZipSfx.000\Reasoning
%TEMP%\7ZipSfx.000\Yourself
%TEMP%\7ZipSfx.000<случайная последовательность из цифр 0-9>\Infectious.pif (например: %TEMP%\7ZipSfx.000\1181\Infectious.pif)
%TEMP%\7ZipSfx.000<случайная последовательность из цифр 0-9>\g (например: %TEMP%\7ZipSfx.000\1181\g)
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ChemExamples.lnk
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\CheetahGuard.url
%LOCALAPPDATA%\GuardTech Solutions\CheetahGuard.pif (копия Infectious.pif)
%LOCALAPPDATA%\GuardTech Solutions\h (копия g)
%LOCALAPPDATA%\GuardTech Solutions\CheetahGuard.js
Процессы:
cmd.exe /k cmd < Yourself & exit
findstr.exe /I "avastui.exe avgui.exe nswscsvc.exe sophoshealth.exe"
findstr.exe /I "wrsa.exe"
cmd.exe /c mkdir <случайная последовательность из цифр 0-9> (например: cmd.exe /c mkdir 1181)
cmd.exe /c copy /b Reasoning + Bailey + Biz + Debug + Monitored <случайная последовательность из цифр 0-9>\Infectious.pif
cmd.exe /c copy /b Closest <случайная последовательность из цифр 0-9>\g
<случайная последовательность из цифр 0-9>\Infectious.pif <случайная последовательность из цифр 0-9>\g (например: 1181\Infectious.pif 1181\g)
ping.exe -n 5 localhost
cmd.exe /k echo [InternetShortcut] > "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\CheetahGuard.url" & echo URL="%LOCALAPPDATA%\GuardTech Solutions\CheetahGuard.js" >> "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\CheetahGuard.url" & exit
%WINDOWS%\SysWOW64\ipconfig.exe (родительский процесс explorer.exe)
%LOCALAPPDATA%\GuardTech Solutions\CheetahGuard.pif %LOCALAPPDATA%\GuardTech Solutions\h
URLs:
hxxps://mail.ru-storage[.]com/ccleaner_downloads
hxxps://store14.gofile[.]io/download/direct/182fba2c-52a1-45c7-9cea-ecbf1c73f1d0/ccleaner_downloads.exe
Домен:
mail.ru-storage[.]com
IP-адрес:
194.61.121[.]167:1145
