В конце 2023 года специалисты F.A.C.C.T. Threat Intelligence зафиксировали несколько фишинговых рассылок от преступной группы, которая использует троян удаленного доступа DarkCrystal RAT для атак на российские компании. Среди их целей были маркетплейсы, торговые сети, банки, IT-компании, телекоммуникационная и строительная компании.
В случае успеха злоумышленники могли бы получить доступ к внутренним финансовым и юридическим документам компаний, клиентским базам данных, учетным записям от почтовых сервисов и мессенджеров. Однако система защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR перехватила и заблокировала все фишинговые письма, отправленные на электронные адреса наших клиентов. Эксперты проанализировали содержимое рассылок и обнаружили новый троян удаленного доступа — RADX. Подробнее о нем — в этом блоге.
Оплата прошла: ноябрьские и декабрьские атаки
В ноябре 2023 года злоумышленники рассылали с почты sergkovalev@b7s[.]ru фишинговые письма с темой “Оплата сервера”. В них содержалось два вида вложения: “скрин оплаты за сервер.zip” или “скрин оплаты за сервер.pdf.zip”. В первом архиве содержался файл “скрин оплаты за сервер.scr”, который установит на компьютер жертвы троян удаленного доступа DarkCrystal RAT. В данном случае командным центром (C2) DarkCrystal RAT является IP-адрес 195.20.16[.]116.
DarkCrystal RAT – это троян удаленного доступа, появившийся в продаже в 2019 году. “Ратник” умеет делать скриншоты, перехватывать нажатия клавиш и красть различные типы данных из системы, включая данные банковских карт, файлы куки, пароли, историю браузера, содержимое буфера обмена и учетные записи Telegram, Steam, Discord, FileZilla. Само ВПО написано на C# и имеет модульную структуру.
Во втором архиве содержался лоадер “скрин оплаты за сервер.pdf.exe”, который установил ранее неизвестное нам ВПО. В ходе анализа, мы дали ему название RADX RAT.
В декабре 2023 эксперты зафиксировали уже новые фишинговые рассылки, доставляющие сэмплы DarkCrystal RAT с тем же C2. Темой писем были “Подтверждение оплаты”, “Не прошла оплата” и “ООО “Агрокомбинат ГК””.
Мы обнаружили, что злоумышленники рассылали два разных архива с одинаковым названием “Платежное поручение №24754 от 4 декабря 2023 г..jpg.zip”. В первом был .SCR файл, во втором был исполняемый EXE, который также установит DarkCrystal RAT.
В случае писем с темой “Агрокомбинат ГК” злоумышленники доставляли ссылку на запароленный архив “TZ_Maket_DopInfo.zip”:
Во втором архиве содержался “скрин оплаты за сервер.pdf.exe”, который должен установить другую вредоносную программу, отличную от DarkCrystal RAT, под видом исполняемого файла AppLaunch.exe на компьютер жертвы.
Дерево процессов после запуска файла “скрин оплаты за сервер.pdf.exe”:
Данный сэмпл закрепляется в системе с помощью создания задачи MicrosoftWindowsControlRCP в планировщике заданий, которая запускает файл “%USERPROFILE%\AppData\Local\Packages\Microsoft.Windows.Accounts.ControlRCP_ruzxpnew4af\AppLaunch.exe” каждый раз при входе пользователя в систему.
Анализируя обнаруженные на VirusTotal схожие образцы, принадлежащие данному семейству, удалось обнаружить в одном из них ASCII-арт “RAD-X”:
Также была обнаружена форма авторизации RADX:
Таким образом, данное семейство ВПО было классифицировано нами как RADX RAT. Семейство ВПО, получившее название RADX RAT, специалисты Threat Intelligence нашли в продаже на андеграундном форуме. Данный “ратник” находится в продаже с октября 2023 года и его рекламируют следующим образом: “самый лучший СОФТ для работы с удаленным доступом и сбором секретной информации”.
Кстати, злоумышленники позиционируют RADX еще и как “самый дешевый RAT” и предлагали его по новогодним скидкам с программой-стилером в придачу. Так, недельная аренда RADX со скидками обходится всего 175 рублей рублей в месяц, а трехмесячная — 475 рублей.
Технические детали
Специалисты Threat Intelligence проанализировали образцы семейства данного ВПО. RADX RAT обладает следующими функциональными возможностями:
- Сбор информации о видеокарте и процессоре (команда user_not_found).
- Сбор информации о скомпрометированном хосте, обращаясь к ресурсу http://ipinfo[.]io/json (команда user_not_found).
- Сбор информации из веб-браузеров: «Microsoft Edge», «Chrome», «Yandex Browser», «Opera GX», «Opera», «Slimjet», «Brave», «Vivaldi» (команда backup_info).
- Сбор информации из расширений веб-браузеров: «Microsoft Edge», «Chrome» (команда backup_info).
- Сбор информации из криптокошельков: «Exodus», «Electrum», «Coinomi» (команда backup_info).
- Сбор токенов мессенджеров Telegram и Discord (команда backup_info).
- Создание снимков экрана рабочего стола (скриншотов) (команды stream_start и stream_stop).
- Открытие ссылок в веб-браузере (команда open_link).
- Выполнение команд в оболочке командной строки cmd.exe (команда cmd).
- Загрузка файлов с C2 на скомпрометированный хост и их последующий запуск (команда upload_file).
- Поддержка VNC (эмуляция мыши и клавиатуры на скомпрометированном хосте) (команды vnc_start и vnc_stop).
- Закрепление в системе через создание задачи в планировщике заданий.
- Добавление исполняемого файла RADX RAT в исключение Windows Defender.
- Сбор файлов с расширениями *.txt, *.doc, *.docx, *.xlsx, *.xls в каталоге %USERPROFILE%\Desktop (команда backup_info).
- Создание конфигурационного файла, содержащего информацию о скомпрометированном хосте: %USERPROFILE%\AppData\Local\Packages\Microsoft.Windows.Accounts.ControlRCP_ruzxpnew4af\config.json (команда user_not_found).
- Создание задачи MicrosoftWindowsControlRCP в планировщике заданий, которая запускает файл %USERPROFILE%\AppData\Local\Packages\Microsoft.Windows.Accounts.ControlRCP_ruzxpnew4af\<название файла>.exe (например: AppLaunch.exe) каждый раз при входе пользователя в систему.
Кроме того, в RADX RAT используется Fody.Costura версии 5.7.0 (плагин под фреймворк Fody версии 6.5.5.0 или 6.8.0.0) для сжатия и встраивания зависимостей как ресурсы в единую сборку, тем самым упрощая развертывание вредоносной программы и уменьшая размер ее исполняемого файла.
RADX RAT использует следующие ссылки при взаимодействии с C2:
URL | Описание |
http://[server_address]:[port]/add_user | добавление нового клиента (зараженного хоста) на C2 и получение его uuid |
http://[server_address]:[port]/[uuid]/cmd | отправка на C2 результата выполнения команды |
http://[server_address]:[port]/end-point-c-sharp/[uuid] | отправка собранных данных с хоста на C2 |
http://[server_address]:[port]/upload_screenshot/[uuid] | отправка скриншота на С2 |
http://[server_address]:[port]/check/[uuid] | проверка данных о клиенте на C2 |
http://[server_address]:[port]/answer_stream_start/[uuid] | отправка на C2 сообщения, что началась передача скриншотов с хоста (включить передачу скриншотов на сервер) |
http://[server_address]:[port]/answer_stream_stop/[uuid] | отправка на C2 сообщения, что передача скриншотов с хоста завершена (отключить передачу скриншотов на сервер) |
http://[server_address]:[port]/answer_vnc_start/[uuid] | отправка на C2 сообщения, что работа VNC запущена (включить VNC) |
http://[server_address]:[port]/answer_vnc_stop/[uuid] | отправка на C2 сообщения, что работа VNC остановлена (выключить VNC) |
uuid генерируется на стороне сервера и приходит в ответе на запрос добавления пользователя (add_user) на сервере злоумышленников. Пример отправки информации о зараженной системе на C2 и получения uuid:
Строки в RADX RAT закодированы Base64 и зашифрованы алгоритмом Triple DES ECB. Алгоритм расшифровки:
Пример зашифрованных строк:
На скриншоте ниже представлены админ-панель RADX и фрагмент кода, отвечающий за стрим экрана:
На скриншоте ниже представлен фрагмент кода, отвечающий за создание конфигурационного файла config.json на компьютере жертвы и отправку его содержимого на C2:
Пример содержимого конфигурационного файла %USERPROFILE%\AppData\Local\Packages\Microsoft.Windows.Accounts.ControlRCP_ruzxpnew4af\config.json на компьютере жертвы:
Ниже представлены веб-браузеры и криптокошельки, используемые в RADX RAT:
На скриншоте ниже представлен фрагмент кода, отвечающий за сбор информации из расширений веб-браузеров:
На скриншоте ниже представлен фрагмент кода, отвечающий за сбор информации из криптокошельков:
На скриншоте ниже представлен фрагмент кода, отвечающий за сбор токенов мессенджера Telegram:
На скриншоте ниже представлен фрагмент кода, отвечающий за сбор токенов мессенджера Discord:
На скриншоте ниже представлен фрагмент кода, отвечающий за создание и отправку на C2 снимков экрана рабочего стола (скриншотов):
На скриншоте ниже представлен фрагмент кода, отвечающий за открытие ссылки в веб-браузере и выполнение команд в cmd.exe (выполнение команд “open_link” и “cmd”):
На скриншоте ниже представлен фрагмент кода, отвечающий за загрузку файлов с C2 и их последующий запуск:
На скриншоте ниже представлен фрагмент кода, отвечающий за работу VNC (эмуляция мыши и клавиатуры):
На скриншоте ниже представлен фрагмент кода, отвечающий за закрепление в системе и добавление исполняемого файла вредоносной программы RADX RAT в исключение Windows Defender:
На скриншоте ниже представлен фрагмент кода, отвечающий за сбор файлов с расширениями *.txt, *.doc, *.docx, *.xlsx, *.xls в каталоге %USERPROFILE%\Desktop:
Учитывая успешный опыт обнаружения и блокировки вышеописанных фишинговых атак, мы рекомендуем использовать для проактивного поиска и защиты от сложных и неизвестных киберугроз систему F.A.С.С.T. Managed XDR обеспечивает защиту от широкого спектра киберрисков, среди которых программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных, как внутри, так и за пределами защищенного периметра.
Проактивная защита от киберугроз с помощью Managed XDR
Запросите демо и начните выявлять и устранять киберугрозы!
Рассылки DarkCrystal RAT
“скрин оплаты за сервер.zip”
MD5: ff05c56cd6f83ea730e3592f14236a7b
SHA-1: afd3e217eb61a6cd692a39f3f52a56f4fc40d486
SHA-256: 5b2eaae73fe65310979d6e836cc639d79a08752a1ab037c0086de7a9cb656843
“скрин оплаты за сервер.scr”
MD5: 879af57bb83f4cd5622ffec01c87631d
SHA-1: 9e7dbcd3e0a6cbc7ca126adc7590ddd148bfbea8
SHA-256: 9f599692d0dbcd8eda537343320a0b53cfc6012a29bfc1050714dfdc038befc5
portComponentSvc.exe
MD5: 3e99f81fd3fccd6a5a47fc94bf2aabc2
SHA-1: e401e4c4f912962b5eba43888e099c48d10f5bbe
SHA-256: 49d4ed3cc13932b72d751a99e1906ca18685c707ce0f79335fe9b04c9790f046
“Платежное поручение №24754 от 4 декабря 2023 г..jpg.zip”
MD5: 73fa9b45217e8db56538fdffa0f1b8df
SHA-1: 57a7014f5e64b2f37c7886c10fb485cf52c1c099
SHA-256: 7b28b86151d13ea34b4a0435fe1a5598a27d3222a471bf8969a2934cd96c1501
«Платежное поручение №24754 от 4 декабря 2023 г..jpg.scr»
MD5: 3fa581ffe483009e6ef0733e33ba40b7
SHA-1: 4d45443923810c4dbbe13fd0dd8b443251491634
SHA-256: 36ed49232d2eec1ae6569219ac6d12883bf99f80c96801ae45d37af76b796b75
chaincomruntime.exe
MD5: 9516cf624ca00387762f6c581211b25c
SHA-1: 5932304395fabcfe70679edc5d2630e89978cb96
SHA-256: 171e7e1405c8e4910d2d83578ee68df690360d54dc9798f4fd8068a4e24776fc
“Платежное поручение №24754 от 4 декабря 2023 г..jpg.zip”
MD5: fbf1b7b8f930f7bd9a432ce46a50549e
SHA-1: 8da51cda3b211eacbeb3ab56b7b04df6598bfefb
SHA-256: 793a73bbfcbe924d293800e1d1d7bb7e12213add13a4ab5bfc54838b7ff3702b
«2.Платежное поручение №24754 от 4 декабря 2023 г..jpg…………………………………………………………………….exe»
MD5: a915628bbde87755a80ef2bff9fe1693
SHA-1: 3c1a6c2d331292a99823d1683c7a0cfce3977376
SHA-256: 3fb322706b954c4e34ac16d9a412d968fd479ef800a82363d8bb35f159bf9138
chaincomruntime.exe
MD5: ae5036a4508e5dfdd39001ad8087ed7c
SHA-1: 4af9aba188f64810f7c7fd3d51f80f31fd12e590
SHA-256: 04e8adf1221c2d10b3f69e4f6f3c6f31bc98e4bed87422ba71f69d099c670dcb
TZ_Maket_DopInfo.zip
MD5:3318a63baab96acbc1e4ccb17b8b03b5
SHA-1: 4a3c8daef54b0ab02b00386d4eb99e857b6a91bd
SHA-256: 87c92e4d5deb2e36dbc496f18a06f58f671819743416298e5527393b1ab41ca4
TZ_Maket_DopInfo.scr
MD5: 7c844b8bfa1c0f7d4bc985b3d199adbf
SHA-1: 700cf995c3d33f31b8d2418b03aafd97c3d7352d
SHA-256: 545041097b764eaa4c6562033ea225ac590c957c827d304fc556d45f81f1d999
temp.exe
MD5: 2ca3144feb9b51094bb8a3b4c3499d2a
SHA-1: 0a745e5dfad0faf18499f3442eaa5603896a9126
SHA-256: 60905ce843e28d704501c506a31a83342d8f2eb0ddc2f2a9216f670aed6ea70d
scrin.scr
MD5: 71138f271ae5a05cf8e8535d16844a4f
SHA-1: 2b61248bd0a45f16876001987556813d7cb6ad88
SHA-256: f166f494c42a9dc530acf944032177f5c3f60c0b5636c80f55bde9e325ade140
IntomonitordhcpCommon.exe
MD5: 9263de77768ae7a197fee59663f434be
SHA-1: 30574f51b63613958246c5d4272e4724bf0ecde2
SHA-256: 60093972dbae21eb11a073dbfa0ffa9f52b192dd234bf36ae263d0e44fafae17
DarkCrystal RAT C2: 195.20.16[.]116
Рассылка RADX RAT
“скрин оплаты за сервер.pdf.zip”
MD5: ffeae235df5fb15aeb138570dd9b0f2c
SHA-1: 7d63b03ee74b6c8c75221f178cb8e20bfb1f1682
SHA-256: 2762e1a02547d09971e758f008c1e902430b55db3bbc493e24b7439ebd152184
“скрин оплаты за сервер.pdf.exe”
MD5: 97fa2dcf3341fc703cc31acf6178cccd
SHA-1: dc2892e97a67f476073526d2da4618cd104db563
SHA-256: fcafcfd32332f92ac7735324411d671a7e49da7159c24c15e34603e7638429aa
AppLaunch.exe
MD5: adcf70d75ed3674c89fea16892e10810
SHA-1: b1f01e7b9cb620f2294477d5a24ad0130f1d275e
SHA-256: 98ddf6dff63b3f7cde1f4e11e5e34ee2a43a0568c6b8cf1af4d439520d3efb33
RADX RAT C2:193.106.95[.]60:1337
Обнаруженные С2 серверы RADX RAT
- hxxp://194.58.33[.]165:1335
- hxxp://194.36.177[.]30:1337
- hxxp://178.250.186[.]7:4321
- hxxp://185.46.46[.]137:5005
- hxxp://213.248.43[.]119:127
- hxxp://195.10.205[.]20:4321
- hxxp://213.248.43[.]55:1488
- hxxp://213.248.43[.]96:1488
- hxxp://213.248.43[.]105:1488
- hxxp://176.59.209[.]82:24356
- hxxp://213.248.43[.]87:1488
- hxxp://194.61.2[.]208:800
- hxxp://194.87.248[.]22:1488
- hxxp://213.248.43[.]106:1337
- hxxp://37.79.32[.]101:2331
- hxxp://213.248.43[.]62:1337
- hxxp://213.248.43[.]24:1488
- hxxp://95.216.102[.]32:4321
- hxxp://193.233.80[.]136:1337
- hxxp://185.103.101[.]24:1338
- hxxp://178.250.186[.]3:4321
- hxxp://64.225.64[.]175:1337
- hxxp://45.138.74[.]20:1337
- hxxp://194.58.70[.]35:1337
- hxxp://213.248.43[.]38:1488
- hxxp://93.159.221[.]78:1488
- hxxp://82.115.223[.]57:80
- hxxp://193.233.255[.]85:4540
MITRE ATT&CK®
Тактика | Техника | Процедура |
---|---|---|
Reconnaissance (TA0043) | Gather Victim Identity Information: Email Addresses (T1589.002) | Злоумышленники собирают действительные адреса электронной почты, которые впоследствии используются в фишинговых кампаниях. |
Resource Development (TA0042) | Establish Accounts: Email Accounts (T1585.002) | Злоумышленники создают электронные почтовые аккаунты для проведения фишинговых атак. |
Obtain Capabilities: Malware (T1588.001) | Злоумышленники используют MaaS (Malware-as-a-Service) вредоносные программы: DarkCrystal RAT, RADX RAT. | |
Stage Capabilities: Upload Malware (T1608.001) | Злоумышленники используют бесплатный файлообменник для размещения вредоносных программ. | |
Initial Access (TA0001) | Phishing: Spearphishing Attachment (T1566.001) | Злоумышленники отправляют фишинговые письма с вредоносными исполняемыми файлами (.scr, .exe), а также архивами с двойным расширением, содержащими вредоносные исполняемые файлы. |
Phishing: Spearphishing Link (T1566.002) | Злоумышленники отправляют фишинговые письма, содержащие ссылки для загрузки вредоносных файлов. | |
Execution (TA0002) | Command and Scripting Interpreter: Visual Basic (T1059.005) | Злоумышленники используют закодированные VBS-скрипты для запуска вредоносных программ. |
Command and Scripting Interpreter: Windows Command Shell (T1059.003) | RADX RAT позволяет выполнять команды, полученные от C2, в интерпретаторе командной строки. | |
User Execution: Malicious File (T1204.002) | Жертве необходимо запустить вредоносный файл из фишингового письма для инициации компрометации. | |
User Execution: Malicious Link (T1204.001) | Жертве необходимо загрузить и запустить по ссылке из фишингового письма вредоносную программу для инициации компрометации. | |
Scheduled Task/Job: Scheduled Task (T1053.005) | RADX RAT создает задачу в планировщике заданий для закрепления в системе. | |
Persistence (TA0003) | ||
Privilege Escalation (TA0004) | ||
Defense Evasion (TA0005) | Deobfuscate/Decode Files or Information (T1140) | RADX RAT содержит код, отвечающий за декодирование и расшифровку строк. |
Impair Defenses: Disable or Modify Tools (T1562.001) | RADX RAT добавляет собственный исполняемый файл в исключение Windows Defender. | |
Masquerading: Double File Extension (T1036.007) | Злоумышленники используют двойное расширение .pdf.exe вредоносных файлов для запутывания жертвы. | |
Obfuscated Files or Information (T1027) | RADX RAT содержится в лоадере в зашифрованном виде. | |
Credential Access (TA0006) | Credentials from Password Stores: Credentials from Web Browsers (T1555.003) | RADX RAT собирает сохраненные учетные данные из различных веб-браузеров («Login Data»). |
Steal Web Session Cookie (T1539) | RADX RAT собирает файлы cookie различных веб-браузеров («Network\Cookies»). | |
Discovery (TA0007) | Browser Information Discovery (T1217) | RADX RAT собирает информацию из веб-браузеров: «Microsoft Edge», «Chrome», «Yandex Browser», «Opera GX», «Opera», «Slimjet», «Brave», «Vivaldi». |
File and Directory Discovery (T1083) | RADX RAT собирает файлы с расширениями *.txt, *.doc, *.docx, *.xlsx, *.xls в каталоге рабочего стола. | |
Process Discovery (T1057) | RADX RAT осуществляет поиск запущенных процессов веб-браузеров в системе. | |
Software Discovery (T1518) | RADX RAT проверяет установленные на компьютере жертвы веб-браузеры, мессенджеры Telegram и Discord, а также криптокошельки. | |
System Information Discovery (T1082) | RADX RAT получает информацию о центральном и графическом процессоре. | |
System Location Discovery (T1614) | RADX RAT использует сервис ipinfo.io для получения информации о географической локации жертвы (страна, почтовый индекс, город). | |
System Network Configuration Discovery (T016) | RADX RAT получает информацию об IP-адресе жертвы. | |
Collection (TA0009) | Data from Local System (T1005) | RADX RAT собирает на компьютере жертвы:
файлы с различными расширениями из каталога рабочего стола, информацию из различных веб-браузеров и их расширений, токены Telegram и Discord, информацию из криптокошельков «Exodus», «Electrum», «Coinomi». |
Screen Capture (T1113) | RADX RAT способен создавать снимки экрана рабочего стола, а также имеет поддержку VNC. | |
Command and Control (TA0011) | Application Layer Protocol: Web Protocols (T1071.001) | RADX RAT использует HTTP-протокол для взаимодействия с C2 сервером. |
Data Encoding: Standard Encoding (T1132.001) | RADX RAT использует Base64 для кодирования передаваемой информации на C2 сервер. | |
Ingress Tool Transfer (T1105) | RADX RAT способен загружать файлы с C2 сервера и запускать их. | |
Non-Standard Port (T1571) | RADX RAT взаимодействует с C2 сервером, используя сетевые порты: 1335, 1337, 4321, 5005, 127, 1488, 24356, 800, 2331, 1338, 4540. | |
Exfiltration (TA0010) | Automated Exfiltration (T1020) | RADX RAT способен автоматически передавать собранную информацию с компьютера жертвы на C2 сервер. |
Exfiltration Over C2 Channel (1041) | RADX RAT передает собранную информацию с компьютера жертвы на C2 сервер. | |
Impact (TA0040) | Service Stop (T1489) | RADX RAT способен завершать работу запущенных процессов веб-браузеров в системе. |
YARA-правило
rule radx_rat { meta: author = "Dmitry Kupin" company = "F.A.C.C.T." description = "Detects RADX RAT samples" date = "2024-01-16" sample = "38ab9df86e41c9fa8d853ac868f4557eb3662c5e48e00339a54ceb1ac051a092" sample = "c2c1901d52b02bba9ec081c64436c6002c6550ebf185c89af79567381455de1a" sample = "fc076af8cc906550eea89d5e54b9789df03bd757425b2d37d9e38b0a4e2870b0" strings: $s0 = ".NET Framework" fullword ascii $s1 = "Costura, Version=5.7.0.0" fullword ascii $x0 = "WalletsGrabber" fullword ascii $x1 = "ExtensionGrabber" fullword ascii $x2 = "TelegramGrabber" fullword ascii $x3 = "DiscordGrabber" fullword ascii $x4 = "CaptureScreenshotsAsync" fullword ascii $x5 = "HandleUploadFile" fullword ascii $x6 = "SendCommandOutputToServer" fullword ascii $x7 = "RunCommandInConsole" fullword ascii $x8 = "OpenLinkInBrowser" fullword ascii $x9 = "CreateConfigAndSendRequest" fullword ascii $x10 = "GetVideoCardName" fullword ascii $x11 = "GetProcessorInfo" fullword ascii $x12 = "isVNC" fullword ascii $x13 = "MD5CryptoServiceProvider\x00TripleDESCryptoServiceProvider" fullword ascii condition: uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and all of ($s*) and 6 of ($x*) }