Неизвестные злоумышленники применяют российский почтовый домен и скомпрометированные марокканские ресурсы для атак на организации во Франции. Под видом документов с резюме они распространяют вредоносные программы и скрытые майнеры.
Франкоязычный корпоративный сектор сталкивается с активностью неизвестной хакерской группы, проводящей целенаправленную фишинговую кампанию. В атаках задействованы два адреса на платформе mail.ru, а также третий с характерным именем vladimirprolitovitch@duck.com.
Притворяясь соискателями, злоумышленники рассылают подложные резюме, содержащие криптомайнеры и программы для хищения данных (инфостилеры).
«Кампания использует тщательно зашифрованные файлы VBScript, замаскированные под легитимные резюме, которые распространяются через фишинговые письма», — указывают в своём отчёте аналитики компании Securonix Шикха Сангван, Акшай Гайквад и Аарон Бирдсли. — После активации вредоносное ПО развёртывает многофункциональный инструментарий, объединяющий кражу учётных данных, вывод конфиденциальной информации и майнинг криптовалюты Monero для максимальной финансовой выгоды».
Кампания получила обозначение FAUX#ELEVATE. Её отличительной чертой стало активное использование легальных сервисов и инфраструктуры, например, Dropbox для размещения вредоносной «полезной нагрузки». Кроме того, задействован ряд марокканских сайтов на базе WordPress, которые служат хостингом для настроек, связывающихся с управляющими серверами (C2). Инфраструктура почты mail.ru используется для передачи похищенных данных из браузеров и файлов с рабочих столов.
Первоначальный загрузчик представляет собой скрипт Visual Basic (VBScript), который при запуске показывает поддельное сообщение об ошибке на французском. В это же время на фоне запускается зашифрованный скрипт, проводящий серию проверок окружения на наличие тестовых или отладочных сред («песочниц»), после чего начинает циклично выводить запросы от системы контроля учётных записей Windows (UAC), пытаясь таким образом заставить пользователя предоставить программе права администратора.
Из 224 471 строки в скрипте лишь 266 содержат рабочий код, остальное — это «мусорные» комментарии со случайными фразами на английском. Благодаря этому размер файла увеличивается до 9,7 МБ.
Вредонос также проверяет сетевое подключение через WMI (инструментарий управления Windows), чтобы убедиться, что заражены именно корпоративные компьютеры, а не домашние системы, которые с большей вероятностью могут быть изолированы от сети.
Когда вредоносная программа получает права администратора, её первоочередной задачей становится отключение систем безопасности, что выполняется весьма прямолинейно: для ключевых дисков (от C до I) она прописывает исключения в Microsoft Defender, тем самым сводя его эффективность к нулю. Контроль учётных записей (UAC) обезвреживается путём внесения изменений в реестр Windows.
Затем программа загружает из Dropbox два запароленных архива в формате 7-Zip.
Первый архив — gmail2.7z — включает в себя набор исполняемых файлов, предназначенных для хищения информации и скрытого майнинга криптовалюты. Второй — gmail_ma.7z — содержит инструменты для закрепления в операционной системе и удаления следов деятельности.
Среди средств, используемых для кражи учётных данных, присутствует компонент, задействующий открытый проект ChromElevator для извлечения приватной информации из браузеров. Этот метод позволяет обойти механизмы шифрования, привязанные к конкретному приложению (ABE).
В числе других инструментов обнаружены: mozilla.vbs — VBScript для хищения профиля и данных авторизации из Mozilla Firefox; walls.vbs — VBScript для выгрузки файлов с рабочего стола; mservice.exe — майнер XMRig, который активируется после загрузки конфигурации со взломанного марокканского сайта на WordPress; WinRing0x64.sys — легальный драйвер ядра Windows, используемый для максимальной загрузки процессора при майнинге; RuntimeHost.exe — стойкий троян, изменяющий правила брандмауэра Windows и периодически выходящий на связь с командным сервером (C2).
Похищенные из браузеров данные отправляются с использованием двух учётных записей на mail.ru (olga.aitsaid@mail.ru и 3pw5nd9neeyn@mail.ru).
Обе учётные записи используют одинаковый пароль и пересылают информацию по протоколу SMTP на другой email-адрес, контролируемый злоумышленником (vladimirprolitovitch@duck.com).
«Использование mail.ru и прочие детали, явно указывающие на русскоязычное происхождение авторов атаки, могут являться операцией под ложным флагом, хотя и не обязательно, — отмечает Михаил Зайцев, эксперт по кибербезопасности компании SEQ. — Учитывая географический разброс инфраструктуры кампании, вероятность «ложного следа» довольно велика. С другой стороны, киберпреступники далеко не всегда оказываются гениями маскировки.
После завершения сбора учётных данных и их вывода, цепочка атаки запускает агрессивную процедуру очистки всех загруженных инструментов, чтобы свести к минимуму оставленные следы. Исходный загрузчик удаляется, и единственными артефактами, остающимися в системе, являются майнер и троянский компонент.
По оценке исследователей, кампания FAUX#ELEVATE представляет собой тщательно организованную многоступенчатую последовательность действий, «объединяющую ряд примечательных техник в единой цепочке заражения».
Инфицирование системы происходит стремительно: весь процесс от запуска начального скрипта до извлечения учётных данных занимает около 25 секунд. Вредоносное ПО избирательно атакует компьютеры, входящие в корпоративный домен, что позволяет повысить ценность каждого взломанного устройства. При этом большинство компонентов, задействованных в атаке, являются легальными инструментами, что характерно для тактики living-off-the-land.
