Троянец Dimnie устанавливает шифровальщик Purga

akok

Команда форума
Администратор
Сообщения
15,793
Симпатии
12,728
Баллы
2,203
#1
Несколько дней назад мы обнаружили вредоносную кампанию по распространению известного шифровальщика Purga. В данном случае использовалась версия зловреда, которая добавляет к зашифрованным файлам расширение .bomber, а целями атаки были организации и частные лица в России.

Проанализировав всю цепочку заражения, мы выяснили, что к установке шифровальщика Purga имеет отношение другой хорошо известный троянец – Dimnie. Распространялся троянец посредством спама; письма содержали вредоносное вложение или ссылку на вредоносный файл. И в том, и в другом случае зловред был замаскирован под офисный документ: договор, платежное поручение, инструкция и т.д.

Кроме того, в рамках этой вредоносной кампании мы наблюдали установку других вредоносных компонентов:

  • Троянец TeamBot / RTM
  • Банковский троянец Buhtrap
Dimnie
Зловред известен с 2014 года, он был замечен в ряде атак как на обычных пользователей, так и на юридических лиц, в первую очередь на финансовые организации. Dimnie способен загружать дополнительные модули для:

  • кражи учетных данных ОС и онлайн-ресурсов;
  • поиска и отправки на удаленный сервер пользовательских файлов;
  • поиска и передачи на удаленный сервер информации о запущенных приложениях;
  • перехвата нажимаемых клавиш и содержимого буфера обмена;
  • получения снимков экрана.
proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F06%2F22105343%2Fdimnie_bomber_01-1024x802.png&hash=9479e033a3cf35b8b3864731e700c51e

География распространения Trojan.Win32.Dimnie за май и июнь 2018, кол-во атакованных пользователей
Для коммуникации с управляющим сервером Dimnie использует протокол HTTP. А для того, чтобы избежать обнаружения, троянец использует ряд маскировок. Так, например, после успешного резолва доменного имени C&C-сервера троянец подключается к полученному IP-адресу, однако в качестве полей заголовка HTTP запросов указываются адреса популярного поискового сервиса.

proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F06%2F22105349%2Fdimnie_bomber_02.png&hash=d406cde4d2e0d7d52213cfacc612607c

Маскировка HTTP запросов троянца Dimnie
Общение с C&C, отправка и получение данных, команды и дополнительные модули зашифрованы с помощью алгоритма шифрования AES. Для их маскировки в начале зашифрованных данных прикрепляется стандартный заголовок файла формата JPEG.

proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F06%2F22105354%2Fdimnie_bomber_03.png&hash=11b360c8706afa57dec1483f79d6d3f1

Маскировка загружаемых модулей под картинку
TeamBot / RTM
Загружаемый Dimnie файл троянца TeamBot представляет собой самораспаковывающийся RAR-архив. Из него в директорию %TEMP%\UeIqC\ извлекаются легальные компоненты ПО для удалённого доступа TeamViewer, вредоносная библиотека TV.dll и конфигурационный файл config.bin.

После распаковки архива происходит автоматический запуск TeamViewer.exe, в ходе которого вредоносная библиотека TV.dll методом DLL hijacking получает управление. Далее она расшифровывает конфигурационный файл config.bin и извлекает из него адрес C&C-сервера и параметр “comment”, использующийся злоумышленниками, видимо, как идентификатор кампании.

proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F06%2F22105359%2Fdimnie_bomber_04.png&hash=9b4f3524f6ae96a6918a86f9838f2508

Конфигурационные данные из рассматриваемого сэмпла TeamBot
proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F06%2F22105403%2Fdimnie_bomber_05.png&hash=e2c07a8e0d7ab68caf6c29a93a3cfc09

Псевдокод процедуры, извлекающей параметры из конфигурационного файла
Далее троянец выполняет перехват нескольких системных вызовов с целью скрыть от жертвы наличие запущенного приложения TeamViewer.

proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F06%2F22105408%2Fdimnie_bomber_06.png&hash=bb98d3eba142a839451525c0e7d969d5

Фрагмент псевдокода процедуры, устанавливающей перехваты
После этого TeamBot собирает информацию о системе и отправляет её на C&C-сервер. Среди отправляемой информации есть следующие параметры:

  • os – версия операционной системы
  • pcuser – имя пользователя
  • cpu – модель процессора
  • ram – объём оперативной памяти
  • av – установленный антивирусный продукт
  • admin – имеет ли учётная запись пользователя административные привилегии
  • comment – строка “hTV_bot_[v1.2a]”
proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F06%2F22105414%2Fdimnie_bomber_07.png&hash=98616c57d7b7e95f6ac0b85312c0b146

HTTP-запрос TeamBot с информацией о заражённой системе
В результате заражения TeamBot скомпрометированная система оказывается открытой для удалённого доступа злоумышленников, которые могут подключиться и выполнять на ней любые действия, в том числе загружать и запускать произвольные файлы.

Purga
Шифровальщики семейства Trojan-Ransom.Win32.Purga (оно же Globe, Amnesia и Scarab) известны примерно с середины 2016 года. Последние модификации, включая и данную, используют следующую криптографическую схему:

  1. При запуске генерируется пара сессионных ключей RSA, приватный сессионный ключ шифруется содержащимся в теле зловреда публичным ключом RSA злоумышленников. Данная информация будет затем записана в файл с требованиями злоумышленников.
  2. proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F06%2F22105421%2Fdimnie_bomber_08-1024x621.png&hash=febbc845d6faef67ac8f0ed52cd58db6

    Пример файла, содержащего требования злоумышленников
  3. Файлы шифруются по алгоритму AES-256-CBC, ключ и вектор для каждого файла генерируются непосредственно перед шифрованием.
  4. Ключ и вектор AES зашифровываются сессионным публичным ключом RSA и записываются в конец зашифрованного файла.
В зависимости от указанной конфигурации, троянцы семейства Purga также могут шифровать имена файлов. Исследуемый образец шифрует имя файла алгоритмом RC4, используя в качестве ключа строку, содержащую зашифрованные ключ и вектор AES. Полученный буфер будет закодирован алгоритмом Base64 с нестандартным алфавитом.

proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F06%2F22105427%2Fdimnie_bomber_09.png&hash=4463b092619d2c013288135abd6b372f

Пример директории после работы шифровальщика
Защитные решения “Лаборатории Касперского” детектируют рассмотренные угрозы со следущими вердиктами:

  • PDM:Trojan.Win32.Generic
  • Trojan.Win32.Dimnie
  • Backdoor.Win32.TeamBot
  • Trojan-Ransom.Win32.Purga
Для проактивного обнаружения описанных угроз использовались:

IoCs
CC74E57FA7575573E12255A4EF6D77E3
FB7CED608F0A962C59DC04D817530C4B
FACD04FC6428C73BD75771B7D3376A83
799AB035023B655506C0D565996579B5

Dimnie MD5
8cf5f8a6f0f616337a6decae8bd14956
fb7ced608f0a962c59dc04d817530c4b
0713c5f42820c65442aad0707830f802
90c15f6da1b0de3ec273f410b7875394
3a4ccf6c97bc3dc109e715f0b3fe48a6
57ee4f77c5d58591b70400c4b4860399
dd7970c50f3e2f789bb18e4290dfa27b

Dimnie C&C
webwerkt.trade
taxhelpline.date
incapsula.site
185.99.133.134
cryptobase.bit
analyticslab.science —
ketpatontjohnbet.xyz —
clicksmarket.trade —
tedhemtefortti.xyz
torsdinthertpegot.xyz
vebabdingparab.online
sonygame.bit
wasswiteneventwo.xyz
fortoftletningtoft.online
wittitreskerol.xyz
103.208.86.157
103.208.86.3
stackshare.loan
forusebutuldno.online
techweeds.club
hedahinneaning.online
himaughsofres.online
gosmos.bit
gouldsittorswit.online
geekflare.win
213.252.244.133

securelist.ru
 
Сверху Снизу