CERT-UA при дослідженні інформації про кіберінциденти спостерігає збільшення кількості кібератак з використанням шкідливого програмного забезпечення (далі – ШПЗ) Pterodo хакерського угрупування Armageddon/Gamaredon, яке пов’язують з урядом РФ.
В зазначеній статті наведено результати дослідження декількох семплів ШПЗ Pterodo, які використовувались у недавніх кібератаках на державні органи України.
Сценарій 1
Особливістю кібератак було використання для розповсюдження інфікованих файлів «Microsoft Word» системи електронного документообігу на базі програмного забезпечення «АСКОД», яку використовує велика кількість організацій України.
Сценарій атаки наступний.
Зловмисники надсилають інфіковані документи до організації, які використовують «АСКОД». Для цього можуть використовуватись або скомпрометовані облікові записи користувачів «АСКОД», або користувачі із заражених Pterodo комп’ютерів самі відсилають інфіковані документи не знаючи цього.
Принцип роботи «АСКОД» такий, що при конвертації документу на сервері організації, в залежності від конфігурації може використовуватись програмне забезпечення «Microsoft Office». При такому використанні «Microsoft Office», «АСКОД» отримує доступ до командної строки з правами адміністратора та відкриває документ за допомогою WINWORD.EXE. Якщо на сервері використовується неоновлена версія «Microsoft Office», яка містить вразливості або в ньому дозволено використання макросів, документ з ШПЗ запуститься на сервері, використає вразливість або виконає макроси та інфікує робочі станції або сервери.
Використання в системах електронного документообігу на робочих станціях або серверах неоновлених/неліцензійних версій «Microsoft Office», та відсутність встановленого антивірусного програмного забезпечення є потенційною критичною загрозою, яка використовувалась зловмисниками для зараження серверів, на яких встановлено «АСКОД».
Документи, які надсилались таким чином містили шкідливий код для експлуатації відомої вразливості «Microsoft Office» CVE-2017-0199 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199), що надає змогу зловмиснику виконати довільний код на пристрої користувача, при відкритті інфікованого файлу.
При відкритті документу, кінцевий пристрій встановлює з’єднання з командно-контрольним сервером http://melitaeas.online використовуючи модифікований \word\_rels\settings.xml.rels файл. Вміст відповідного файлу наведено нижче:
або
За допомогою відповідних налаштувань, в разі відсутності оновлень безпеки, що були опубліковані у квітні 2017 року на офіційному вебсайті Microsoft, на комп’ютер жертви автоматично завантажуються файли з розширенням .dot, що містять у собі шкідливий програмний код у вигляді макросу та ініціюється виконання коду.
Макрос містить у собі VBScript, що ініціює встановлення завантажувача (downloader) в систему, який надає командно-контрольному серверу (далі – С2) інформацію щодо назви пристрою, назви накопичувача та його серійного номеру, та отримує відповіді у вигляді програмного коду, що записується в оперативну пам’ять пристрою.
Після ініціалізації відповідного шкідливого програмного коду в системі створюються файли з розширенням .exe та .vbs, що мають конкретний шлях запису, наразі відомі таки директорії:
%PUBLIC% \Documents\
%APPDATA%\Microsoft\
Зокрема у системі створюються правила щодо регулярної ініціалізації сформованих файлів:
schtasks /Create /SC MINUTE /MO 15 /F /tn PublicFolderDownload /tr \Documents\inspection.exe //b \Documents\inspection.vbs, 0, False.
Після його ініціалізації, в системі строюються файли з такими фіксованими назвами: 6045.cmd.
6045.cmd – файл, що створює файли Say.vbs, Say.exe, yIaCaZTYKozaEDs.txt, BFXKwVzWGhXtYrG.vbs, saved.exe, завантажує scaffold.exe з http://tridiuma.ru/scaffold.php.
Після цього у планувальнику завдань відбувається встановлення з’єднання з командно-контрольним сервером, кожні 13 хвилин:
schtasks /Create /SC MINUTE /MO 13 /F /tn HelpOffice /tr “%APPDATA%\Microsoft\say\say.exe //b %APPDATA%\Microsoft\say\say.vbs”
Say.vbs перевіряє доступність до хосту “tridiuma.ru” за допомогою команди ping: C:\Windows\SysWOW64\PING.EXE ping tridiuma.ru
За допомогою адреси, що була використана для відповіді на команду ping, формується GET запит на отримання файлу “schedule.php”, який зберігається до файлу “C:\Users\askod\AppData\Roaming\Microsoft\say\scaffold.exe”. Запуск файлу scafold.exe
32154.vbs cтворює файли UserSupport.cs, UserSupport.bin. наступні файли отримують код з наступного ресурсу: http://barbatus.online/get.php. Після цього відбувається пошук усіх файлів в директорії C:\Windows\Microsoft.NET\Framework\v4.* та запис результату до 1.txt.
Відбувається компіляція UserSupport.cs завдяки csc.exe(компілятор С#) та відтворення результатів до UserSupport.ехе.
Також створений UserSupport.ехе додається до планувальника завдань на вконання кожних 5 хвилин:
SCHTASKS /CREATE /sc minute /mo 5 /tn “” /tr “%USERPROFILE%\UserSupport\UserSupport.exe” /F
VBS cкрипт 7104.vbs є копією 32154.vbs та виконує аналогічні функції.
Файл UserSupport.ехе націлений на дослідження хосту. Таким чином, завдяки йому відбувається дослідження файлової системи(перебір та визначення наявності папок та файлів) та визначення її стану. Дані файли взаємодіють з http://188.225.37.128/index.php (РФ).
Сценарій 2
У цьому випадку метод розповсюдження був білш звичайний – для зараження використовувались фішингові розсилки електронних листів зі шкідливими вкладеннями. Користувачі заражених пристроїв самі того не підозрюючи створювали документи, які містили шкідливий код та відправляли їх за допомогою легітимної робочої пошти, ща збільшувало вірогідність відкриття шкідливих листів.
У цьому випадку також експлуатувалась вразливість CVE-2017-0199 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0199).
При відкритті інфікованого документу «Microsoft Word» кінцевий пристрій встановлює з’єднання з командно-контрольним сервером та завантажує файл з розширенням .dot, що містить у собі шкідливе програмне навантаження. Після його ініціалізації, в системі створюється виконуваний файл, з псевдовипадковою назвою, проте незалежно від назви містить у собі VBScript, з назвою 27270.
Після його ініціалізації, в системі строюються файли з такими фіксованими назвами: satisfy.exe, satisfy.vbs, savagely.exe, 3070.cmd, scenes.exe, TjAaneBEaKsklpl.vbs, 7ZSfx000.cmd, D6BDA66A.tmp та TdJIPGeKMNeyqOh.txt.
TjAaneBEaKsklpl.vbs звертається до командно-контрольних серверів http://optica-rd.myftp.biz/satisfy.php та 188.225.58.175/savagely.php за запитом POST (домен та ІР адреса знаходяться в РФ).
Файл satisfy.vbs звертається до командно-контрольних серверів http://graphiuma.online/hat.php та 185.119.59.227/phone.php за запитом GET.
Файл savagely.exe створюється в системі відповідно до отриманих даних з контрольно-командного сервера, http://graphiuma.online/hat.php.
Файл scenes.exe, являє собою копію файлу System32\WScript.exe, а satisfy.exe, в свою чергу є копією scenes.exe.
Файл 7ZSfx000.cmd містить у собі наступні команди, де vcqkmwhafaky.exe – відповідний виконуваний файл з псевдовипадковою назвою, що містить у собі VBScript.
Файл 3070.cmd, є копією відповідного виконуваного файлу з псевдовипадковою назвою, що містить у собі VBScript.
Також запускається процес перевірки доступності з’єднання кінцевого пристрою з мережею інтернет:
C:\Windows\SysWOW64\PING.EXE ping 127.0.0.1
та у планувальнику завдань прописується встановлення з’єднання з командно-контрольним сервером, кожні 13 хвилин
@schtasks /Create /SC MINUTE /MO 13 /F /tn HelpOffice /tr satisfy.exe //b satisfy.vbs
Зокрема, під час аналізу файлової системи було виявлено такі файли на інфікованому кінцевому пристрої, що працюють аналогічно до зазначених вище:
C:\Users\user\AppData\Roaming\Microsoft\casks.exe – файл є копією системного файлу System32\WScript.exe.
C:\Users\user\AppData\Roaming\Microsoft\casks.vbs
Відповідний VBScript звертається до командно-контрольних серверів http://dipteran.online/napoleon.php та http://dipteran.online/saucer.php за запитом GET та формує відповідно до їх відповіді в системі файл hasten.exe та ініціює його запуск.
C:\Users\user\AppData\Local\Temp\24180-9520.vbs
C:\Users\user\AppData\Local\Temp\24214-30768.vbs
Відповідні два файли звертаються за методом POST до hххp://apoxipodes.ru/straightforward.php.
Висновок
Активність хакерського угрупування Armageddon/Gamaredon в Україні збільшується з кожним роком. Для реалізації своїх кібератак вони шукають нові методи та техніки і використовують фішингові листи та документи створенні спеціально під конкретні організації.
Негативними наслідками реалізації подібних кібератак, за умов відсутності антивірусного програмного забезпечення та/або несвоєчасного встановлення оновлень програмного забезпечення, що використовується на робочих станціях та серверах організацій, можуть бути:
– отримання зловмисниками адміністративного доступу до інфікованого серверу та/або робочих станцій (розміщення бекдорів);
– інфіковані сервери та робочі станції стають джерелом подальшого розповсюдження ШПЗ в інші інформаційні та інформаційно-телекомунікаційні системи державних органів;
– наявність доступу зловмисника до інфікованих ресурсів може призвести до витоку інформації (файлів, електронних документів, паролів до облікових записів тощо);
– на завершальній стадії кібератаки може відбутися шифрування даних чи файлової системи з метою приховування дій зловмисника або вимагання викупу за розшифрування.
Рекомендації
1. Забезпечити невідкладне інформування урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA про інциденти кібербезпеки.
2. Використовувати лише ліцензійне програмне забезпечення та своєчасно оновлювати його.
3. Використовувати антивірусне програмне забезпечення з актуальною антивірусною базою. Забезпечити регулярну повну перевірку системи на предмет наявності шкідливих програм.
4. Забезпечити негайне відключення інфікованих серверів та робочі станції від локальної обчислювальної мережі.
5. Забезпечити розмежування інформаційних систем на відокремлених обчислювальних ресурсах.
6. При отримані повідомлення електронною поштою, якщо ім’я чи адреса відправника, або зміст повідомлення викликають підозри, не відкривати прикріплені файли та не переходити за посиланнями.
7. Налаштувати фільтрування вхідних/вихідних інформаційних потоків, наприклад заборонити отримання працівниками повідомлень електронної пошти, що містить в додатках виконувані файли.
8. Налаштувати SPF, DKIM та DMARC для зменшення випадків отримання спаму, реалізації спуфінгу та інших кібератак.
9. Обмежити права доступу користувачам, заборонити ініціалізацію файлів з правами адміністратора.
10. Використовувати поштові клієнти для роботи з сервісами електронної пошти.
11. Політики інформаційної безпеки повинні містити вимогу щодо обмеження використання флеш-носіїв, у тому числі їх перевірку антивірусним програмним забезпеченням.
12. Заборонити стандартні сервіси шифрування операційної системи, що не використовуються, для унеможливлення використання їх шифрувальниками.
13. Обмежити можливість запуску виконуваних файлів (*.exe, *js, *.com, *.bs, *jar, *.vbs і т.д.) на пристроях з директорій Temp, AppData.
14. Заборонити чи обмежити використання макросів в програмному забезпеченні Microsoft Office.
15. Обмежити чи заборонити використання powershell.
16. На регулярній основі забезпечити процес резервного копіювання програмного забезпечення та критичних даних на відокремлених ресурсах.
За матеріалами сайту CERT-UA