Кібератака APT28
Кібератака APT28: msedge як завантажувач, TOR та сервіси mockbin.org/website.hook як центр управління (CERT-UA#7469)
Загальна інформація
Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA зафіксовано цільову кібератаку у відношенні об'єкту критичної енергетичної інфраструктури України.
Для реалізації зловмисного задуму розповсюджено повідомлення електронної пошти з підробленою адресою відправника та посиланням на архів, наприклад, "photo.zip".
Відвідування посилання призведе до завантаження на ЕОМ жертви ZIP-архіву, що містить три JPG-зображення (приманки) та BAT-файл "weblinks.cmd". У випадку запуску CMD-файлу буде відкрито декілька вебсторінок-приманок, створено файли ".bat" і ".vbs", а також здійснено запуск VBS-файлу, який, у свою чергу, виконає BAT-файл.
Зазначене призведе до звернення до URL-адреси за допомогою програми Microsoft Edge в "headless" режимі, в результаті чого на ЕОМ в каталозі "%USERPROFILE%Downloads" буде створено файл з розширенням ".css", який згодом буде переміщено до каталогу "%PROGRAMDATA%" з розширенням ".cmd", виконано та видалено.
Під час дослідження на ЕОМ було завантажено CMD-файл, призначений для виконання команди "whoami" та передачі результату за допомогою HTTP GET-запиту, виконаного за допомогою програми Microsoft Edge в "headless" режимі.
У процесі контрольованої емуляції ураження додатково з'ясовано, що на ЕОМ жертви з файлового сервісу file.io буде здійснено завантаження програми TOR та створення "прихованих" сервісів, призначених для перенаправлення інформаційних потоків через мережу TOR на відповідні хости локальної обчислювальної мережі, зокрема, контролер домену (порти: 445, 389, 3389) та поштовий сервер (порти: 443, 445, 3389). Крім того, для отримання хешу паролю облікового запису використано PowerShell-сценарій, що відкриває сокет та ініціює SMB-підключення до нього за допомогою команди "net use".
При цьому, віддалене виконання команд реалізовано за допомогою "curl" через API легітимного сервісу webhook.site; персистентність забезпечено шляхом створення запланованих задач для запуску VBS-скрипта з BAT-файлом у якості аргументу.
Завдяки обмеженню можливості доступу до вебресурсів сервісу Mockbin (mockbin.org, mocky.io) та блокуванню запуску Windows Script Host (зокрема, "wscript.exe") на ЕОМ, відповідальному співробітникові згаданого об'єкту критичної енергетичної інфраструктури вдалося запобігти кібератаці. Зауважимо, що в контексті детектування та протидії доцільно також звернути увагу на запуск "curl" та "msedge" з параметром "--headless=new".
Очевидно, що з метою обходу засобів захисту зловмисники продовжують використовувати функціонал штатних програм (так звані LOLBAS - Living Off The Land Binaries, Scripts and Libraries), а для створення каналу управління зловживають відповідними сервісами.
Описана активність здійснюється угрупуванням APT28. При цьому, один з перших випадків використання сервісу Mockbin зафіксовано у квітні 2023 року.