Начиная с марта 2024, специалисты F.A.C.C.T Threat Intelligence детектируют ранее неизвестный загрузчик PhantomDL (PhantomGoDownloader). Анализ обнаруженных образцов позволил установить ряд связей с группой PhantomCore, на основе которых мы с высокой уверенностью атрибутируем PhantomDL к этой же группировке.
Напомним, что PhantomCore – группа кибершпионов, действующая с начала 2024 года против российских организаций, была впервые раскрыта и описана в отчете исследователями компании F.A.C.C.T. Первоначальный вектор распространения не был установлен, однако в упомянутом выше исследовании отмечалось, что группа рассылала фишинговые письма с запароленными вредоносными архивами во вложении и паролем в тексте письма. Мы полагаем, что для распространения PhantomDL также использовались фишинговые рассылки с вложенным архивом.
В конце марта специалисты F.A.C.C.T Threat Intelligence обнаружили на платформе VirusTotal исполняемый файл с именем «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» и запароленный RAR-архив «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar». Исследователям удалось сбрутить используемый пароль для архива: «11112222». Оказалось, что архив включает в себя указанный исполняемый файл и легитимный PDF-файл, являющийся документом-приманкой с таким же именем (рис. 1).
Документ-приманка (рис. 2) содержит информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли.
Злоумышленники эксплуатируют вариацию уязвимости WinRAR — CVE-2023-38831, в которой вместо ZIP-архивов используются RAR-архивы. Таким образом, если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива. В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл.
Обнаруженный исполняемый файл является загрузчиком, написанным на языке Go, для обфускации которого, предположительно, использовалась утилита garble. Сначала загрузчик получает имя компьютера / домена жертвы с помощью команды:
- cmd.exe /c «echo %USERDOMAIN%».
Затем загрузчик выполняет HTTP POST-запрос к серверу hxxp://188.127.227[.]201/check и передает сгенерированный uuid и имя компьютера / домена жертвы. В случае, если SYN-запросы отправляются не с российского IP-адреса, соединение будет разорвано (RST). Если от сервера приходит ответ 200 OK ненулевой длины, то загрузчик выполнит одну из двух команд:
- install – включает в себя последовательность действий:
- отправить запрос на сетевой адрес hxxp://188.127.227[.]201/start;
- получить в ответ от сервера URL;
- загрузить следующую стадию (нагрузку) с полученного URL, сохранить под указанным именем в каталог %APPDATA%\Microsoft\Windows, запустить нагрузку;
- выполнить запрос после завершения на сетевой адрес hxxp://188.127.227[.]201/end.
- bay – завершить работу.
Помимо этого, 26 марта на VirusTotal был загружен еще один архив с паролем «11112222», содержащий файлы:
- «Информация по договору.pdf .exe» — загрузчик на Go с той же хэш-суммой, что и файл «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» (SHA-1: d6a7b11b0f71cb3ea14a4c89d2d742a90a05bf3c);
- «Информация по договору.pdf» – легитимный PDF-файл, являющийся документом-приманкой, содержимое которого представлено на рис. 3, отметим, что само содержимое документа-приманки не соответствует его названию.
Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика нашим специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов. Это позволило получить название проекта D:\github\phantomDL и присвоить этому загрузчику имя PhantomDL.
Обнаруженный образец «Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контракт.pdf .exe» был загружен на VirusTotal 2 мая 2024 года. Файл распространялся в архиве с именем «Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контрак.rar». Содержимое архива представлено на рис. 4.
Содержимое документов-приманок из архива представлено на рис. 5 и рис. 6.
Образец поддерживает те же команды, что и более ранняя версия загрузчика: bay, install. Но в качестве сервера управления (C2) используется другой IP-адрес: 91.219.151[.]47. Среди изменений можно отметить, что в новом образце были заменены названия страниц для отправки запросов на сервер. Сравнительная таблица для двух файлов PhantomDL представлена ниже.
Назначение | «Akt_priema_peredaci_plosadki_20240322103904_ 20240323105837.pdf .exe» |
«Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контракт.pdf .exe» |
Начальный запрос | hxxp://188.127.227[.]201/check | hxxp://91.219.151[.]47/ping |
Отправка запроса в начале выполнения команды «install» | hxxp://188.127.227[.]201/start | hxxp://91.219.151[.]47/starter |
Отправка запроса после выполнения команды «install» | hxxp://188.127.227[.]201/end | hxxp://91.219.151[.]47/finisher |
Атрибуция загрузчика PhantomDL группе PhantomCore
Анализ обнаруженных образцов позволил нашим исследователям связать данную активность с группой PhantomCore по следующим причинам:
- PhantomCore — первая среди известных на сегодняшний день группировок, эксплуатирующих CVE-2023-38831, в которой вместо ZIP-архивов используются RAR-архивы. В ходе атак, основанных на использовании загрузчика PhantomDL, также эксплуатируется эта уязвимость в RAR-архивах.
- Общая нацеленность на Россию и, вероятно, на сферы, связанные с ВПК.
- Схожие темы в документах-приманках, где указаны акты по взаимным работам двух организаций, в частности: «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf», «Акт № 255.docx» и «Акт сверки.pdf» у PhantomCore. Стоит отметить, что документ-приманка отобразится только в том случае, если у целевой организации установлена программа WinRAR версии 6.23 или выше.
- Пересечения в именованиях файлов и паролей к архивам из разных атак:
- группа PhantomCore в первой известной атаке в январе 2024 года использовала архив «Информация по договору.rar» с паролем «1111», в архиве был PhantomCore.Downloader, загружающий PhantomRAT. Имя документа-приманки в архиве: «Пример формы для заполнения.pdf»;
- в марте 2024 года был обнаружен первый образец загрузчика PhantomDL с именем «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe», который распространялся в архиве с паролем «11112222»;
- также в марте найден другой архив с таким же паролем «11112222», загрузчиком PhantomDL с той же хэш-суммой, что имел образец из предыдущего пункта, но с отличающимися именами файлов: «Информация по договору.pdf», «Информация по договору.pdf\Информация по договору.pdf .exe». Таким образом, можно отметить, что имена файлов из этого архива, пересекаются с названием архива из первой атаки PhantomCore «Информация по договору.rar», кроме того пароли к архивам в этих двух активностях частично пересекаются («11112222» и «1111»).
- Пересечения в имени PDB-путей модулей PhantomRAT группы PhantomCore (рис.7 слева) и в имени путей Go-файлов проекта загрузчика PhantomDL (рис.7 справа).
- Пересечения в именах классов и методов между трояном удаленного доступа PhantomRAT (рис. 8 слева) и загрузчиком PhantomDL (рис. 8 справа).
- Схожие названия для переменной, хранящей адрес управляющего сервера, в конфигурации: у PhantomRAT — «PRIMARY_END_POINT», а у PhantomDL — «PrimaryIP».
Выводы
На основании изложенных причин, специалисты Threat Intelligence F.A.C.C.T. с высокой долей уверенности связывают обнаруженный загрузчик PhantomDL с PhantomCore. Очевидно, что группа активно развивает свой инструментарий и переходит от стадии тестирования к наступлению. Если в первых атаках злоумышленники использовали простой загрузчик PhantomCore.Downloader, а специалисты обнаруживали в публичных песочницах тестовые образцы, то уже спустя месяц с момента обнаружения произошел переход к более сложному загрузчику PhantomDL. Отдельно стоит отметить, что злоумышленники используют качественные документы-приманки, содержимое которых может свидетельствовать о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.
Узнайте больше о Threat Intelligence от F.A.C.C.T.
Проактивный анализ киберугроз и предотвращение атак со знанием методов и инструментов атакующих
Индикаторы компрометации
Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar
MD5: f6b14bc3a43f27e73ff7c1ef9af7bd6e
SHA-1: db1b84fa7946ce93c99b6501fec58d2ca12222b0
SHA-256: a3f69d79ea0802784e31201257af5289490593c05da570870bb8440d3d7bd29
Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe, Информация по договору.pdf .exe
MD5: 24f3b3ad3b5e6f80b5f2e141fc632cfd
SHA-1: d6a7b11b0f71cb3ea14a4c89d2d742a90a05bf3c
SHA-256: 063a8cad2115f6021532fa5093b33ec322b052c936659ec5cb42aa53a8207e59
Информация по договору.rar
MD5: f959a91be0ce6ce17ca68a283cf42125
SHA-1: 953541f78a844575833dc67e044a18c3113760ed
SHA-256: b7902181802cafcc1e41be7cf8a23e9ca4f7da56196e6b729dac86f236225ff5
Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контракт.pdf .exe
MD5: 15333d5315202ea428de43655b598eda
SHA-1: b6212da07dc3a4f39a33bc0f0242c86a0f4433e6
SHA-256: 201f8dd57bce6fd70a0e1242b07a17f489c5f873278475af2eaf82a751c24fa8
Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контрак.rar
MD5: 2525b41e278337b320eb773dad7949fd
SHA-1: 3ecfd1bafbbc59547ac298ade59527f5d58d7b68
SHA-256: 08dc76d561ba2f707da534c455495a13b52f65427636c771d445de9b10293470
188.127.227[.]201
91.219.151[.]47
hxxp://188.127.227[.]201/check
hxxp://188.127.227[.]201/start
hxxp://188.127.227[.]201/end
hxxp://91.219.151[.]47/ping
hxxp://91.219.151[.]47/starter
hxxp://91.219.151[.]47/finisher
MITRE ATT&CK®
ТАКТИКИ | ТЕХНИКИ | ПРОЦЕДУРЫ |
Resource-development (TA0042) | Develop Capabilities: Malware (T1587.001) | PhantomCore используют уникальный загрузчик PhantomDL. |
Initial Access (TA0001) | Phishing: Spearphishing Attachment (T1566.001) | PhantomCore используют электронные письма, которые содержат вложенный архив, защищенный паролем. |
Execution (TA0002) | Command and Scripting Interpreter: Windows Command Shell (T1059.003) | PhantomCore используют загрузчик PhantomDL, который выполняет команду: cmd.exe /c «echo %USERDOMAIN%». |
Exploitation for Client Execution (T1203) | PhantomCore используют вариацию уязвимости CVE-2023-38831, для запуска вредоносного файла в архиве, после того как пользователем будет запущен легитимный PDF-файл. | |
User Execution: Malicious File (T1204.002) | PhantomCore рассылают защищенный паролем RAR-архив, эксплуатирующий уязвимость CVE-2023-38831. | |
Defense-evasion (TA0005) | Execution Guardrails: Geofencing (T1627.001) | PhantomCore проверяют, чтобы SYN-запросы, генерируемые загрузчиком PhantomDL, приходили с российского IP-адреса, в противном случае соединение с сервером будет разорвано (RST). |
Masquerading: Double File Extension (T1036.007) | PhantomCore используют двойные файловые расширения. В случае PhantomCore, двойные расширения необходимы для эксплуатации уязвимости CVE-2023-38831. | |
Obfuscated Files or Information (T1027) | PhantomCore используют, предположительно, утилиту garble для обфускации PhantomDL. | |
Discovery (TA0007) | ||
System Information Discovery (T1082) | PhantomCore используют загрузчик PhantomDL для получения названия домена или компьютера, если он не в домене. | |
Command and Control (TA0011) | ||
Application Layer Protocol: Web Protocols (T1071.001) | PhantomCore используют загрузчик PhantomDL, который взаимодействует с управляющим сервером через HTTP-протокол. | |
Multi-Stage Channels (T1104) | PhantomCore используют загрузчик PhantomDL, который по команде «install» получает от управляющего сервера URL-адрес для загрузки следующей стадии (нагрузки). | |
Ingress Tool Transfer (T1105) | PhantomCore используют загрузчик PhantomDL для загрузки следующей стадии (нагрузки). |