Kilka dni temu zespoły z CERT Polska (CSIRT NASK i CSIRT MON) zaobserwowały zakrojoną na szeroką skalę kampanię szkodliwego systemu wycelowaną w polskie instytucje rządowe. Ze względu na wskaźniki techniczne i podobieństwo do ataków opisywanych w przeszłości (np. na podmioty ukraińskie) kampanię można połączyć z zestawem działań grupy APT28, który związany jest z Główną Dyrekcją Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
W ramach kampanii wysyłane były e-maile, których treść miała wzbudzić zainteresowanie odbiorcy i nakłonić go do kliknięcia w link. Przykład użytego komunikatu przedstawiono poniżej:
źródło: cert.plLink kieruje do adresu w domenie run[.]mocky[.]io. Jest to bezpłatna usługa używana przez programistów do tworzenia i testowania interfejsów API. W tym przypadku ma on jedynie na celu przekierowanie na inną stronę internetową, webhook.site, umożliwiając logowanie wszystkich zapytań pod wygenerowany adres i konfigurowanie odpowiedzi na nie. Strona ta również cieszy się popularnością wśród osób związanych z IT. Korzystanie z bezpłatnych, powszechnie używanych usług zamiast własnych domen pozwala znacznie ograniczyć wykrywanie linków jako złośliwych, a jednocześnie zmniejsza koszty operacji. Jest to trend, który obserwujemy w wielu grupach APT.
Na koniec ze strony webhook.site pobierane jest archiwum ZIP, którego nazwa sugeruje zawartość w postaci zdjęć. Zaczyna się od IMG- i kończy losową liczbą (np. IMG-238279780.zip). Po kliknięciu archiwum, przy domyślnych ustawieniach systemu Windows (ukryte rozszerzenia i brak wyświetlania ukrytych plików), ofierze ukazuje się następujący widok:
źródło: cert.plW rzeczywistości archiwum zawiera trzy pliki:
- kalkulator Windows ze zmienioną nazwą, np. IMG-238279780.jpg.exe, który udaje zdjęcie i zachęca ofiarę do kliknięcia,
- skrypt .bat (plik ukryty),
- fałszywa biblioteka WindowsCodecs.dll (plik ukryty).
Jeśli ofiara uruchomi plik IMG-238279780.jpg.exe będący nieszkodliwym kalkulatorem, podczas uruchamiania spróbuje on załadować bibliotekę WindowsCodecs.dll, która została podstawiona przez atakujących. Jest to technika znana jako ładowanie boczne DLL. Jedyną rolą biblioteki DLL jest uruchomienie dołączonego skryptu BAT.
Skrypt otwiera przeglądarkę Microsoft Edge, która ładuje zawartość strony zakodowaną w formacie Base64 w celu pobrania kolejnego skryptu wsadowego (również dzięki witryny webhook.site). Jednocześnie przeglądarka wyświetla zdjęcia prawdziwej kobiety w kostiumie kąpielowym wraz z linkami do jej prawdziwych kont na platformach społecznościowych. Ma to na celu uwiarygodnienie narracji atakującego i uśpienie czujności odbiorcy. Skrypt zapisuje pobrany plik z rozszerzeniem .jpg na dysku, zmienia rozszerzenie z .jpg na .cmd i na koniec go wykonuje.
Skrypt ten stanowi główną pętlę programu. W pętli /l %n in () najpierw czeka 5 minut, a następnie, podobnie jak poprzednio, pobiera kolejny skrypt wykorzystując przeglądarkę Microsoft Edge oraz odwołanie do webhook.site i wykonuje go. Tym razem pobierany jest plik z rozszerzeniem .css, następnie zmieniane jest jego rozszerzenie (na .cmd) i plik uruchamia się.
Ostateczny analizowany skrypt zbiera jedynie informacje o komputerze (adres IP i lista plików w wybranych folderach), na którym został uruchomiony, a następnie przesyła je do serwera C2. Prawdopodobnie komputery wybranych przez atakujących ofiar otrzymują inny zestaw skryptów końcowych.
Poniżej schemat całego ataku:
Zespół CERT Polska zaleca administratorom sieci sprawdzenie, czy pracownicy organizacji nie padli ofiarą ataku.
- Zaleca się sprawdzenie ostatnich połączeń z domenami webhook.site i run.mocky.io oraz ich obecność w otrzymywanych wiadomościach e-mail. Są to strony powszechnie używane przez programistów i ruch na nich nie musi oznaczać infekcji.
- Jeśli dana organizacja nie korzysta z powyższych usług, zalecamy rozważenie zablokowania powyższych domen na urządzeniach brzegowych.
Strony tego typu były już wielokrotnie wykorzystywane w kampaniach związanych z grupami APT.
