Невидимые связи: специалисты F.A.C.C.T. обнаружили ранее неизвестный загрузчик PhantomDL и атрибутировали его группе PhantomCore | Блог F.A.C.C.T.

Начиная с марта 2024, специалисты F.A.C.C.T Threat Intelligence детектируют ранее неизвестный загрузчик PhantomDL (PhantomGoDownloader). Анализ обнаруженных образцов позволил установить ряд связей с группой PhantomCore, на основе которых мы с высокой уверенностью атрибутируем PhantomDL к этой же группировке.

Напомним, что PhantomCore – группа кибершпионов, действующая с начала 2024 года против российских организаций, была впервые раскрыта и описана в отчете исследователями компании F.A.C.C.T. Первоначальный вектор распространения не был установлен, однако в упомянутом выше исследовании отмечалось, что группа рассылала фишинговые письма с запароленными вредоносными архивами во вложении и паролем в тексте письма. Мы полагаем, что для распространения PhantomDL также использовались фишинговые рассылки с вложенным архивом.

В конце марта специалисты  F.A.C.C.T Threat Intelligence обнаружили на платформе VirusTotal исполняемый файл с именем «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» и запароленный RAR-архив «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar». Исследователям удалось сбрутить используемый пароль для архива: «11112222». Оказалось, что архив включает в себя указанный исполняемый файл и легитимный PDF-файл, являющийся документом-приманкой с таким же именем (рис. 1).

содержимое архива PhantomDL

Рис. 1 – содержимое архива «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar»

Документ-приманка (рис. 2) содержит информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли.

содержимое документа-приманки PhantomDL

Рис. 2 – содержимое документа-приманки «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf»

Злоумышленники эксплуатируют вариацию уязвимости WinRAR — CVE-2023-38831, в которой вместо ZIP-архивов используются RAR-архивы. Таким образом, если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива. В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл.

Обнаруженный исполняемый файл является загрузчиком, написанным на языке Go, для обфускации которого, предположительно, использовалась утилита garble. Сначала загрузчик получает имя компьютера / домена жертвы с помощью команды:

  • cmd.exe /c «echo %USERDOMAIN%».

Затем загрузчик выполняет HTTP POST-запрос к серверу hxxp://188.127.227[.]201/check и передает сгенерированный uuid и имя компьютера / домена жертвы. В случае, если SYN-запросы отправляются не с российского IP-адреса, соединение будет разорвано (RST). Если от сервера приходит ответ 200 OK ненулевой длины, то загрузчик выполнит одну из двух команд:

  • install – включает в себя последовательность действий:
    • отправить запрос на сетевой адрес hxxp://188.127.227[.]201/start;
    • получить в ответ от сервера URL;
    • загрузить следующую стадию (нагрузку) с полученного URL, сохранить под указанным именем в каталог %APPDATA%\Microsoft\Windows, запустить нагрузку;
    • выполнить запрос после завершения на сетевой адрес hxxp://188.127.227[.]201/end.
  • bay – завершить работу.

Помимо этого, 26 марта на VirusTotal был загружен еще один архив с паролем «11112222», содержащий файлы:

  • «Информация по договору.pdf .exe» — загрузчик на Go с той же хэш-суммой, что и файл «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» (SHA-1: d6a7b11b0f71cb3ea14a4c89d2d742a90a05bf3c);
  • «Информация по договору.pdf» – легитимный PDF-файл, являющийся документом-приманкой, содержимое которого представлено на рис. 3, отметим, что само содержимое документа-приманки не соответствует его названию.
содержимое документа-приманки PhantomDL

Рис. 3 – содержимое документа-приманки «Информация по договору.pdf»

Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика нашим специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов. Это позволило получить название проекта D:\github\phantomDL и присвоить этому загрузчику имя PhantomDL.

Обнаруженный образец «Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контракт.pdf .exe» был загружен на VirusTotal 2 мая 2024 года. Файл распространялся в архиве с именем «Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контрак.rar». Содержимое архива представлено на рис. 4.

содержимое архива PhantomDL

Рис. 4 – содержимое архива «Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контрак.rar»

Содержимое документов-приманок из архива представлено на рис. 5 и рис. 6.

Образец поддерживает те же команды, что и более ранняя версия загрузчика: bay, install. Но в качестве сервера управления (C2) используется другой IP-адрес: 91.219.151[.]47. Среди изменений можно отметить, что в новом образце были заменены названия страниц для отправки запросов на сервер. Сравнительная таблица для двух файлов PhantomDL представлена ниже.

Назначение «Akt_priema_peredaci_plosadki_20240322103904_
20240323105837.pdf .exe»
«Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контракт.pdf .exe»
Начальный запрос hxxp://188.127.227[.]201/check hxxp://91.219.151[.]47/ping
Отправка запроса в начале выполнения команды «install» hxxp://188.127.227[.]201/start hxxp://91.219.151[.]47/starter
Отправка запроса после выполнения команды «install» hxxp://188.127.227[.]201/end hxxp://91.219.151[.]47/finisher

Атрибуция загрузчика PhantomDL группе PhantomCore

Анализ обнаруженных образцов позволил нашим исследователям связать данную активность с группой PhantomCore по следующим причинам:

  • PhantomCore — первая среди известных на сегодняшний день группировок, эксплуатирующих CVE-2023-38831, в которой вместо ZIP-архивов используются RAR-архивы. В ходе атак, основанных на использовании загрузчика PhantomDL, также эксплуатируется эта уязвимость в RAR-архивах.
  • Общая нацеленность на Россию и, вероятно, на сферы, связанные с ВПК.
  • Схожие темы в документах-приманках, где указаны акты по взаимным работам двух организаций, в частности: «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf», «Акт № 255.docx» и «Акт сверки.pdf» у PhantomCore. Стоит отметить, что документ-приманка отобразится только в том случае, если у целевой организации установлена программа WinRAR версии 6.23 или выше.
  • Пересечения в именованиях файлов и паролей к архивам из разных атак:
    • группа PhantomCore в первой известной атаке в январе 2024 года использовала архив «Информация по договору.rar» с паролем «1111», в архиве был PhantomCore.Downloader, загружающий PhantomRAT. Имя документа-приманки в архиве: «Пример формы для заполнения.pdf»;
    • в марте 2024 года был обнаружен первый образец загрузчика PhantomDL с именем «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe», который распространялся в архиве с паролем «11112222»;
    • также в марте найден другой архив с таким же паролем «11112222», загрузчиком PhantomDL с той же хэш-суммой, что имел образец из предыдущего пункта, но с отличающимися именами файлов: «Информация по договору.pdf», «Информация по договору.pdf\Информация по договору.pdf .exe». Таким образом, можно отметить, что имена файлов из этого архива, пересекаются с названием архива из первой атаки PhantomCore «Информация по договору.rar», кроме того пароли к архивам в этих двух активностях частично пересекаются («11112222» и «1111»).
  • Пересечения в имени PDB-путей модулей PhantomRAT группы PhantomCore  (рис.7 слева) и в имени путей Go-файлов проекта загрузчика PhantomDL (рис.7 справа).
PDB-пути PhantomRAT и пути Go-файлов проекта загрузчика PhantomDL

Рис. 7 – PDB-пути PhantomRAT (слева) и пути Go-файлов проекта загрузчика PhantomDL (справа)

  • Пересечения в именах классов и методов между трояном удаленного доступа PhantomRAT (рис. 8 слева) и загрузчиком PhantomDL (рис. 8 справа).
строки кода PhantomRAT и PhantomDL

Рис. 8 – строки кода PhantomRAT (слева) и PhantomDL (справа)

  • Схожие названия для переменной, хранящей адрес управляющего сервера, в конфигурации:  у PhantomRAT — «PRIMARY_END_POINT», а у PhantomDL — «PrimaryIP».

Выводы

На основании изложенных причин, специалисты  Threat Intelligence F.A.C.C.T. с высокой долей уверенности связывают обнаруженный загрузчик PhantomDL с PhantomCore. Очевидно, что группа активно развивает свой инструментарий и переходит от стадии тестирования к наступлению. Если в первых атаках злоумышленники использовали простой загрузчик PhantomCore.Downloader, а специалисты обнаруживали в публичных песочницах тестовые образцы, то уже спустя месяц с момента обнаружения произошел переход к более сложному загрузчику PhantomDL. Отдельно стоит отметить, что злоумышленники используют качественные документы-приманки, содержимое которых может свидетельствовать о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.

Узнайте больше о Threat Intelligence от F.A.C.C.T.

Проактивный анализ киберугроз и предотвращение атак со знанием методов и инструментов атакующих

Индикаторы компрометации

Файловые индикаторы
arrow_drop_down

Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar

MD5: f6b14bc3a43f27e73ff7c1ef9af7bd6e

SHA-1: db1b84fa7946ce93c99b6501fec58d2ca12222b0

SHA-256: a3f69d79ea0802784e31201257af5289490593c05da570870bb8440d3d7bd29

Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe, Информация по договору.pdf .exe

MD5: 24f3b3ad3b5e6f80b5f2e141fc632cfd

SHA-1: d6a7b11b0f71cb3ea14a4c89d2d742a90a05bf3c

SHA-256: 063a8cad2115f6021532fa5093b33ec322b052c936659ec5cb42aa53a8207e59

Информация по договору.rar

MD5: f959a91be0ce6ce17ca68a283cf42125

SHA-1: 953541f78a844575833dc67e044a18c3113760ed

SHA-256: b7902181802cafcc1e41be7cf8a23e9ca4f7da56196e6b729dac86f236225ff5

Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контракт.pdf .exe

MD5: 15333d5315202ea428de43655b598eda

SHA-1: b6212da07dc3a4f39a33bc0f0242c86a0f4433e6

SHA-256: 201f8dd57bce6fd70a0e1242b07a17f489c5f873278475af2eaf82a751c24fa8

Договор_ №367КХ_от_29.04.2024_и_доп_соглашение_РТСС 022_контрак.rar

MD5: 2525b41e278337b320eb773dad7949fd

SHA-1: 3ecfd1bafbbc59547ac298ade59527f5d58d7b68

SHA-256: 08dc76d561ba2f707da534c455495a13b52f65427636c771d445de9b10293470

Сетевые индикаторы
arrow_drop_down

188.127.227[.]201

91.219.151[.]47

hxxp://188.127.227[.]201/check

hxxp://188.127.227[.]201/start

hxxp://188.127.227[.]201/end

hxxp://91.219.151[.]47/ping

hxxp://91.219.151[.]47/starter

hxxp://91.219.151[.]47/finisher

MITRE ATT&CK®

ТАКТИКИ ТЕХНИКИ ПРОЦЕДУРЫ
Resource-development (TA0042) Develop Capabilities: Malware (T1587.001) PhantomCore используют уникальный загрузчик PhantomDL.
Initial Access (TA0001) Phishing: Spearphishing Attachment (T1566.001) PhantomCore используют электронные письма, которые содержат вложенный архив, защищенный паролем.
Execution (TA0002) Command and Scripting Interpreter: Windows Command Shell (T1059.003) PhantomCore используют загрузчик PhantomDL, который выполняет команду: cmd.exe /c «echo %USERDOMAIN%».
Exploitation for Client Execution (T1203) PhantomCore используют вариацию уязвимости CVE-2023-38831, для запуска  вредоносного файла в архиве, после того как пользователем будет запущен  легитимный PDF-файл.
User Execution: Malicious File (T1204.002) PhantomCore рассылают защищенный паролем RAR-архив, эксплуатирующий уязвимость CVE-2023-38831.
Defense-evasion (TA0005) Execution Guardrails: Geofencing (T1627.001) PhantomCore проверяют, чтобы SYN-запросы, генерируемые загрузчиком PhantomDL, приходили с российского IP-адреса,  в противном случае соединение с сервером будет разорвано (RST).
Masquerading: Double File Extension (T1036.007) PhantomCore используют двойные файловые расширения. В случае  PhantomCore, двойные расширения необходимы для эксплуатации уязвимости  CVE-2023-38831.
Obfuscated Files or Information (T1027) PhantomCore используют, предположительно, утилиту garble для обфускации PhantomDL.
Discovery (TA0007)
System Information Discovery (T1082) PhantomCore используют загрузчик PhantomDL для получения названия домена или компьютера, если он не в домене.
Command and Control (TA0011)
Application Layer Protocol: Web Protocols (T1071.001) PhantomCore используют загрузчик PhantomDL, который взаимодействует с управляющим сервером через HTTP-протокол.
Multi-Stage Channels (T1104) PhantomCore используют загрузчик PhantomDL, который по команде «install» получает от управляющего сервера URL-адрес для загрузки следующей стадии (нагрузки).
Ingress Tool Transfer (T1105) PhantomCore используют загрузчик PhantomDL для загрузки следующей стадии (нагрузки).