Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Специалисты F.A.C.C.T. Threat Intelligence зафиксировали в июле 2024 новые атаки кибершпионской группировки XDSpy, направленные на российские компании. Так, например, XDSpy рассылает фишинговые электронные письма, содержащие ссылку на загрузку RAR-архива, в котором находятся легитимный исполняемый файл с расширением .exe и вредоносная динамически подключаемая библиотеку msi.dll. Для запуска данной библиотеки злоумышленники используют технику DLL Side-Loading. Вредоносная динамически подключаемая библиотека представляет собой загрузчик, отвечающий за загрузку и запуск файла полезной нагрузки, классифицируемый нами как XDSpy.DSDownloader. На момент исследования файл полезной нагрузки был недоступен.
Цели атаки
В рамках данной вредоносной кампании XDSpy была атакована российская ИТ-компания, являющаяся разработчиком ПО для контрольно-кассовых машин. Еще одной вероятной целью атаки могла быть некоторая организация из Молдовы (г. Тирасполь, Приднестровье), т.к. один из обнаруженных нами RAR-архивов был загружен на VirusTotal из данной локации.
Технические детали
Фишинговое письмо
Злоумышленники использовали спуфинг реального адреса отправителя фишингового письма. Пример письма:
Тема письма: "Доступ к документам"
Отправитель: Елена Проваторова <E.Provatorova@a24[.]ru> - Автоклуб "А24" (реальный отправитель 65[.]69[.]114[.]89[.]rev[.]vodafone[.]pt ([89[.]114[.]69[.]65])
Ссылка в теле письма:
26 июля было отправлено второе письмо в эту же организацию.
Тема: "Договоренности, по поручению начальника"
Отправитель: Ева Полетаева <himinfo@agbis[.]ru> - ООО "Компания АГБИС" (реальный отправитель 48[.]69[.]114[.]89[.]rev[.]vodafone[.]pt ([89[.]114[.]69[.]48])
Пример фишингового письма:
Ссылка в теле письма:
На основании предыдущих атак группировки XDSpy, в рамках данной вредоносной кампании, мы предполагаем, что по ссылке в письме должен загружаться RAR-архив с вредоносной программой XDSpy.DSDownloader. К сожалению, на момент исследования RAR-архив по указанной выше ссылке в письме был недоступен.
RAR-архив
RAR-архив содержит 2 исполняемых файла формата PE32+:
pdf_20240615_00003645.exe (pismo-22-07-2024_0001.exe) - легитимный исполняемый файл (SHA256: b77a9c7250397242df5956213a17ec0149ba836d64640e7b2a0068a2e6b2cf9e), являющийся приложением IntegratedOffice.exe версии 16.0.17328.20124 с действительной цифровой подписью.
msi.dll - вредоносная динамически подключаемая библиотека, загружающаяся при запуске легитимного исполняемого файла, указанного выше.
Пример содержимого RAR-архива:
XDSpy.DSDownloader
Динамически подключаемая библиотека msi.dll является вредоносной программой класса загрузчик (downloader) семейства XDSpy.DSDownloader.
Название XDSpy.DSDownloader было сформировано на основе класса вредоносной программы и PDB-путей, D - drop (dropper), S - side (sideloading) и класс downloader.
Основные функциональные возможности XDSpy.DSDownloader:
Извлечение из ресурса RCDATA документа-приманки и сохранение его в пользовательском каталоге (%USERPROFILE%), затем открытие документа-приманки для отвлечения внимания жертвы.
Копирование msi.dll и легитимного EXE-файла в каталог "C:\Users\Public".
Создание в ключе реестра [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] параметра "{legit_exe_filename}" со значением "C:\Users\Public{legit_exe_filename}" для закрепления в автозагрузке системы вредоносной программы XDSpy.DSDownloader.Пример: [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] pdf_20240615_00003645.exe = "C:\Users\Public\pdf_20240615_00003645.exe".
Загрузка файла полезной нагрузки с сервера злоумышленников по определенной ссылке, используя User-Agent = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123[.]0[.]0[.]0 Safari/537.36", и сохранение загруженной полезной нагрузки с именем "C:\Users\Public[a-z]{8}.exe" (пример: "C:\Users\Public\zwrdntjl.exe").
Запуск загруженного файла полезной нагрузки "C:\Users\Public[a-z]{8}.exe". На момент исследования файл полезной нагрузки был недоступен.
Важные строки, содержащиеся в открытом виде в теле вредоносной программы XDSpy.DSDownloader:
название документа-приманки;
название исполняемого легитимного файла;
название вредоносной DLL;
название файла полезной нагрузки;
название ключа реестра;
путь к каталогу "C:\Users\Public";
ссылка для загрузки полезной нагрузки;
строка заголовка User-Agent.
Также стоит отметить, что имена вызываемых WinAPI-функций захешированы несложным алгоритмом, который представлен на скриншоте ниже.
Пример вызова функции, отвечающей за получение адреса необходимой WinAPI-функции:
Обнаруженные образцы XDSpy.DSDownloader представлены в таблицах ниже:
Примеры обнаруженных документов-приманок:
pdf_20240615_00003645.pdf (SHA-256: dec3d97d49d82a1735ca57a8c61699c3eebec31b43c8d99748dc72aee24f2c30)
pismo-22-07-2024_0001.pdf (SHA-256: 6c740544f446553f90daf7cb16885a59fdf15c848b3efbf59b5fa0afd65be90d)
Индикаторы компрометации
Хеши файлов:
pdf_20240615_00003645.rar
MD5: 1c34280a2228793aad681089179ec0b3
SHA-1: a84d557cc726f521354a308436b0620fbe1a051f
SHA-256: 45bbe6950cabe649513edbe819440935d6be5a6ef715c01f7a95862225262da0
pismo-22-07-2024_0001.rar
MD5: 94aab070678e6d84f0287cfedc037300
SHA-1: 7741436dcaf11e16e330cc52a133b6ef59a12812
SHA-256: 03ea832f0b7531026f1d87dc84ec03f65fe11f3e9de032e5e862b70d8cf0d2d8
msi.dll
MD5: 2982ac131e49354ec51e645f9db53b40
SHA-1: 00bde6ad42ef3cbef9f0f0cc054014435432b17c
SHA-256: 65a953a80a0accd3b9a5b0f5c6978dad223273bd4d5ec892737e569c864fc73c
msi.dll
MD5: 0fd1128bc81eca818909d50f9806fd85
SHA-1: 02760b55fa69392d99633c271e43108c64c21807
SHA-256: 01d092290e410617eb3369bf3682af186ae8da0937ee90acadba75ee5d4e17e4
msi.dll
MD5: 3bd819440fbc91a530c3c659d99564e3
SHA-1: 68d83a5d25d62f0b15912fb70474dd371db1947d
SHA-256: 78ba21a60241da65cf65e951773bbfd606402a3bf43acc5201e95220d13e8817
Домены:
protej[.]org
nashtab[.]org
obshchiye-resursy[.]com
sbordokumentov[.]com
IP-адреса:
89.114.69[.]65
89.114.69[.]48
82.221.129[.]24
185.56.136[.]50
159.100.6[.]5
URL:
hxxps://protej[.]org/zpwidnydav/?e&n=bVq7NwlXhjYOMT
hxxps://protej[.]org/zpwidnydav/?e&n=bVq7NwlXhjYOMT
hxxps://protej[.]org/zpwidnydav/?n=wHFbIDNW9YutX
hxxps://nashtab[.]org/biyasqbuk4/?e&n=GuVZoipdI2UIxk
hxxps://nashtab[.]org/pqwebyug3/?n=PDVXCGFwWnCaNv
hxxps://obshchiye-resursy[.]com/zpwidnydav/?e&n=V1Z82iODc5twdu
hxxps://obshchiye-resursy[.]com/zpwidnydav/?n=Jo9EDoZiYATO77
hxxps://sbordokumentov[.]com/snirboubd/?n=vAR1Xp9BG2nStq
hxxps://sbordokumentov[.]com/snirboubd/?n=ygTQMPQdzlcZ9E
Дополнительные индикаторы компрометации
Пути к файлам:
C:\Users\Public\pdf_20240615_00003645.exe
C:\Users\Public\pismo-22-07-2024_0001.exe
C:\Users\Public\msi.dll
%USERPROFILE%\pdf_20240615_00003645.pdf
%USERPROFILE%\pismo-22-07-2024_0001.pdf
C\Users\Public\zwrdntjl.exe
C:\Users\Public\spbbpzmq.exe
C:\Users\Public\yvpxqixd.exe
Реестр:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] pdf_20240615_00003645.exe = "C:\Users\Public\pdf_20240615_00003645.exe"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] pismo-22-07-2024_0001.exe = "C:\Users\Public\pismo-22-07-2024_0001.exe"
