Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
Назад
habr.com Хабр
год назад

Обнаружены атаки группы XDSpy с использованием нового загрузчика XDSpy.DSDownloader

Специалисты F.A.C.C.T. Threat Intelligence зафиксировали в июле 2024 новые атаки кибершпионской группировки XDSpy, направленные на российские компании. Так, например, XDSpy рассылает фишинговые электронные письма, содержащие ссылку на загрузку RAR-архива, в котором находятся легитимный исполняемый файл с расширением .exe и вредоносная динамически подключаемая библиотеку msi.dll. Для запуска данной библиотеки злоумышленники используют технику DLL Side-Loading. Вредоносная динамически подключаемая библиотека представляет собой загрузчик, отвечающий за загрузку и запуск файла полезной нагрузки, классифицируемый нами как XDSpy.DSDownloader. На момент исследования файл полезной нагрузки был недоступен.

Цели атаки

В рамках данной вредоносной кампании XDSpy была атакована российская ИТ-компания, являющаяся разработчиком ПО для контрольно-кассовых машин. Еще одной вероятной целью атаки могла быть некоторая организация из Молдовы (г. Тирасполь, Приднестровье), т.к. один из обнаруженных нами RAR-архивов был загружен на VirusTotal из данной локации.

Технические детали

Фишинговое письмо

Злоумышленники использовали спуфинг реального адреса отправителя фишингового письма. Пример письма:

Тема письма: "Доступ к документам"

Отправитель: Елена Проваторова <E.Provatorova@a24[.]ru> - Автоклуб "А24" (реальный отправитель 65[.]69[.]114[.]89[.]rev[.]vodafone[.]pt ([89[.]114[.]69[.]65])

Ссылка в теле письма:

На основании предыдущих атак группировки XDSpy, в рамках данной вредоносной кампании, мы предполагаем, что по ссылке в письме должен загружаться RAR-архив с вредоносной программой XDSpy.DSDownloader. К сожалению, на момент исследования RAR-архив по указанной выше ссылке в письме был недоступен.

RAR-архив

RAR-архив содержит 2 исполняемых файла формата PE32+:

  • pdf_20240615_00003645.exe (pismo-22-07-2024_0001.exe) - легитимный исполняемый файл (SHA256: b77a9c7250397242df5956213a17ec0149ba836d64640e7b2a0068a2e6b2cf9e), являющийся приложением IntegratedOffice.exe версии 16.0.17328.20124 с действительной цифровой подписью.

  • msi.dll - вредоносная динамически подключаемая библиотека, загружающаяся при запуске легитимного исполняемого файла, указанного выше.

Пример содержимого RAR-архива:

XDSpy.DSDownloader

Динамически подключаемая библиотека msi.dll является вредоносной программой класса загрузчик (downloader) семейства XDSpy.DSDownloader.

Название XDSpy.DSDownloader было сформировано на основе класса вредоносной программы и PDB-путей, D - drop (dropper), S - side (sideloading) и класс downloader.

Основные функциональные возможности XDSpy.DSDownloader:

  • Извлечение из ресурса RCDATA документа-приманки и сохранение его в пользовательском каталоге (%USERPROFILE%), затем открытие документа-приманки для отвлечения внимания жертвы.

  • Копирование msi.dll и легитимного EXE-файла в каталог "C:\Users\Public".

  • Создание в ключе реестра [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] параметра "{legit_exe_filename}" со значением "C:\Users\Public{legit_exe_filename}" для закрепления в автозагрузке системы вредоносной программы XDSpy.DSDownloader.Пример: [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] pdf_20240615_00003645.exe = "C:\Users\Public\pdf_20240615_00003645.exe".

  • Загрузка файла полезной нагрузки с сервера злоумышленников по определенной ссылке, используя User-Agent = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123[.]0[.]0[.]0 Safari/537.36", и сохранение загруженной полезной нагрузки с именем "C:\Users\Public[a-z]{8}.exe" (пример: "C:\Users\Public\zwrdntjl.exe").

  • Запуск загруженного файла полезной нагрузки "C:\Users\Public[a-z]{8}.exe". На момент исследования файл полезной нагрузки был недоступен.

Важные строки, содержащиеся в открытом виде в теле вредоносной программы XDSpy.DSDownloader:

  • название документа-приманки;

  • название исполняемого легитимного файла;

  • название вредоносной DLL;

  • название файла полезной нагрузки;

  • название ключа реестра;

  • путь к каталогу "C:\Users\Public";

  • ссылка для загрузки полезной нагрузки;

  • строка заголовка User-Agent.

Также стоит отметить, что имена вызываемых WinAPI-функций захешированы несложным алгоритмом, который представлен на скриншоте ниже.

Пример вызова функции, отвечающей за получение адреса необходимой WinAPI-функции:

Обнаруженные образцы XDSpy.DSDownloader представлены в таблицах ниже:

Примеры обнаруженных документов-приманок:

  • pdf_20240615_00003645.pdf (SHA-256: dec3d97d49d82a1735ca57a8c61699c3eebec31b43c8d99748dc72aee24f2c30)

  • pismo-22-07-2024_0001.pdf (SHA-256: 6c740544f446553f90daf7cb16885a59fdf15c848b3efbf59b5fa0afd65be90d)

Дополнительные индикаторы компрометации

Пути к файлам:

  • C:\Users\Public\pdf_20240615_00003645.exe

  • C:\Users\Public\pismo-22-07-2024_0001.exe

  • C:\Users\Public\msi.dll

  • %USERPROFILE%\pdf_20240615_00003645.pdf

  • %USERPROFILE%\pismo-22-07-2024_0001.pdf

  • C\Users\Public\zwrdntjl.exe

  • C:\Users\Public\spbbpzmq.exe

  • C:\Users\Public\yvpxqixd.exe

Реестр:

  • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] pdf_20240615_00003645.exe = "C:\Users\Public\pdf_20240615_00003645.exe"

  • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] pismo-22-07-2024_0001.exe = "C:\Users\Public\pismo-22-07-2024_0001.exe"

Назад