Что нового в мире crimeware: Emotet, DarkGate и LokiBot

Что нового в мире crimeware: Emotet, DarkGate и LokiBot

Life-Hack [Жизнь-Взлом]/Хакинг

Ландшафт вредоносного ПО постоянно меняется. Появляются новые семейства, и исчезают старые. Некоторые зловреды быстро перестают использоваться, другие остаются в арсенале злоумышленников довольно долго. Для отслеживания меняющегося ландшафта угроз мы не только анализируем найденные образцы вредоносного ПО, но и пристально наблюдаем за ботнетами и активностью на теневых форумах.

Во время таких наблюдений мы обнаружили новые образцы Emotet, новый загрузчик DarkGate и новую кампанию с использованием стилера LokiBot. Об этих киберугрозах мы писали в закрытых отчетах, выдержки из которых приводим в этой статье.

Если вы хотите больше узнать о нашем сервисе информирования о crimeware (вредоносном ПО, которое используется для совершения киберпреступлений), напишите по адресу crimewareintel@kaspersky.com.

DarkGate

В июне 2023 года известный разработчик вредоносного ПО опубликовал на популярном теневом форуме объявление о том, что он закончил работу над вредоносным загрузчиком, которую начал в 2017 году, в общей сложности потратив на разработку более 20 000 часов. По сравнению с обычными загрузчиками новый зловред обладает расширенными функциями, к которым предположительно относятся:

  • скрытое VNC-подключение;
  • добавление в исключения Защитника Windows;
  • кража истории браузера;
  • обратный прокси;
  • файловый менеджер;
  • кража токенов Discord.

Полный список представленных функций приводится в нашем закрытом отчете.

В образце, который нам удалось получить, присутствовали не все эти функции. Но это ничего не значит, так как их можно активировать или отключить в билдере. Однако мы смогли восстановить полную цепочку заражения, состоящую из четырех этапов, до момента загрузки финальной полезной нагрузки — самого DarkGate.

  1. VBS-загрузчик. Это довольно простой скрипт, который задает несколько переменных окружения, чтобы обфусцировать последующие вызовы команд. Затем с командного сервера скачиваются два файла (Autoit3.exe и script.au3). Файл Autoit3.exe запускается, при этом script.au3 передается в качестве аргумента.
  2. Скрипт AutoIT V3. AutoIT V3 — скриптовый язык типа BASIC. Его часто используют разработчики вредоносного ПО, так как он позволяет имитировать нажатия клавиш, перемещения мыши и многое другое. Скрипт обфусцируется перед выполнением, но при этом загружает в память встроенный шелл-код и затем выполняет его.
  3. Шелл-код. Шелл-код работает довольно просто: он создает PE-файл в памяти, динамически разрешает таблицу импорта и передает этому файлу управление.
  4. Исполнитель DarkGate (PE-файл, созданный шелл-кодом). Исполнитель загружает файл script.au3 в память и находит в нем зашифрованный блок данных, который расшифровывается с использованием XOR-ключа и операции NOT. В результате получается PE-файл, чья таблица импорта разрешается динамически. Последний этап — загрузчик DarkGate.

Загрузчик DarkGate содержит несколько глобальных переменных (список строк Delphi TStringList). Всего их 17, и они описывают основные функции зловреда:

  1. переменная, задаваемая при обнаружении антивируса;
  2. переменная, задаваемая при обнаружении виртуальной среды;
  3. переменная, задаваемая при обнаружении процессора Xeon;
  4. номер порта командного сервера.

Полный список переменных приводится в нашем закрытом отчете. К основным функциям не относится загрузка вредоносного ПО — для этого используется отдельный модуль.

Интерес представляет также способ шифрования строк. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).

LokiBot

LokiBot — вредоносная программа для кражи информации (стилер), которая была впервые обнаружена в 2016 году и активно используется до сих пор. Она предназначена для кражи учетных данных из различных приложений (браузеров, FTP-клиентов и др.). Недавно мы обнаружили фишинговую кампанию, доставляющую LokiBot. Она была нацелена на компании, специализирующиеся на морских перевозках грузов.

В расследованных нами случаях жертвы получали электронное письмо якобы от контрагента с требованием уплатить портовые сборы. В письмо был вложен документ Excel. Открыв этот документ, пользователь, как и следовало ожидать, видел запрос активировать макросы. Однако макросов в документе нет — в действительности он пытается эксплуатировать уязвимость CVE-2017-0199.

Эта уязвимость позволяет открывать удаленный документ через ссылку. В рамках описываемой атаки при успешной эксплуатации загружается документ RTF, который эксплуатирует еще одну уязвимость — CVE-2017-11882. Она позволяет загрузить и запустить LokiBot.

После запуска LokiBot собирает учетные данные из различных источников и сохраняет их в свой буфер обмена, а затем отправляет на командный сервер. Данные отправляются в POST-запросах, сжатых с помощью библиотеки APLib. После отправки информации о системе зловред ожидает дополнительные команды от командного сервера. Сервер может отправить команду скачать дополнительное вредоносное ПО, запустить кейлоггер и т. д.

Emotet

Emotet — известный ботнет, который ликвидировали в 2021 году, но он возобновил свою активность. В последней волне атак злоумышленники использовали популярный вектор заражения через OneNote — рассылали письма с вредоносными файлами OneNote. Если открыть такое вложение, появляется изображение, похожее на показанное ниже:

Документ OneNote — приманка Emotet

Документ OneNote — приманка Emotet

Если нажать кнопку просмотра, выполняется вредоносный обфусцированный встроенный VBS-скрипт. Деобфусцированный код выглядит довольно просто:

Деобфусцированный скрипт-загрузчик

Деобфусцированный скрипт-загрузчик

Как видно на скриншоте, полезную нагрузку можно скачать с нескольких сайтов. Скрипт по очереди обращается ко всем этим сайтам и, если попытка оказывается успешной, сохраняет полезную нагрузку (DLL-файл) во временную папку, а затем выполняет ее с помощью системной утилиты regsvc32.exe. Выполняемый DLL-файл загружает ресурс (LXGUM) из раздела ресурсов и расшифровывает его, используя простой алгоритм rolling XOR, как показано ниже:

Код дешифрования ресурса

Код дешифрования ресурса

Расшифрованная полезная нагрузка представляет собой шелл-код, который выполняет стандартный импорт по хешу. Две из импортируемых функций — LdrLoadDll и LdrGetProcedureAddress. Разработчики вредоносного ПО часто используют их для защиты от динамического анализа известных API-функций (в этом случае LoadLibrary и GetProcAddress). На следующем этапе выделяется пространство в памяти, в которое записывается блок данных (PE-файл) из раздела ресурсов, — это и есть итоговая полезная нагрузка Emotet. После инициализации DLL-зависимостей восстанавливается таблица адресов импорта (IAT). Затем шелл-код переписывает заголовок DOS в PE-файле, чтобы усложнить EDR-решениям обнаружение в памяти бинарного файла. Наконец выполняется Emotet.

Сама полезная нагрузка Emotet не отличается от использованной в предыдущих волнах атак.

Заключение

Вредоносное ПО постоянно эволюционирует, злоумышленники меняют свои тактики, методы и процедуры, и обнаруживать их становится все труднее. Кроме того, организациям бывает сложно определить, от каких киберугроз следует защищаться в первую очередь. В этом помогают отчеты об угрозах — они содержат всю нужную информацию об актуальных для вас угрозах и способах защиты от них. 


Источник



Report Page