В апреле 2024 года исследователи из The DFIR Report опубликовали отчет, описывающий цепочку атаки вируса-вымогателя Nokoyawa в феврале 2023 года. В ходе анализа информации из этого отчета специалисты F.A.C.C.T. обратили внимание на интересные детали.
До запуска шифровальщика атакующие использовал сервер Cobalt Strike, который был развернут на домене msc-mvc-updates[.]com с IP адресом 91[.]215[.]85[.]183.Рис. 1 Снимок экрана – данные из отчета «The DFIR Report»
Специалисты F.A.C.C.T. отметили, что данный сервер уже фигурировал в других отчетах и атаках. С помощью хантинг правил на инфраструктуру злоумышленников, 11.04.2023 данный сервер был атрибутирован системой F.A.C.C.T. Threat Intelligence к FIN7, поскольку на нем были обнаружены уникальные признаки, выявляемые на серверах FIN7 ранее.Рис. 2 Скриншот графа сетевой инфраструктуры F.A.C.C.T. Threat Intelligence
FIN7 — это финансово-мотивированная преступная группа, действующая с 2015 года. По данным исследователей, злоумышленники из FIN7 связаны с использованием программ-шифровальщиков Revil (Sodinokibi), также считается, что из FIN7 нее отделились такие группировки как DarkSide и BlackMatter, запомнившееся своими дерзкими атаками в 2021 году, а эксперты Symantec заявляли, что FIN7 стоит во главе RaaS ALPHV (BlackCat).
По данным исследователей из Symantec, сервер 91[.]215[.]85[.]183 фигурировал в атаке шифровальщика Buhti в феврале 2023.
Buhti – группировка, впервые замеченная в феврале 2023 года, активно эксплуатирующая уязвимости CVE-2023-27350, CVE-2022-47986 и использующая для шифрования данных утекший ранее инструментарий Babuk и LockBit 3.0 (Black), однако для кражи и эксфильтрации данных Buhti использовали собственный инструмент, написанный на Golang.
В статье The DFIR Report атака с использованием данного Cobalt Strike сервера привела к заражению Nokoyawa Ransomware – это появившийся в феврале 2022 года вирус шифровальщик, владельцем партнерской программы которого предположительно является пользователь даркнет-форумов под ником farnetwork.
Приводим конфигурационные файлы Cobalt Strike, обнаруженные системой F.A.C.C.T. Threat Intelligence на исследуемом сервере 91[.]215[.]85[.]183:
Конфиг Cobalt Strike, найденный 17.01.2023"config_payload": "http-get.uri": "91.215.85.183,/jquery-3.3.1.min.js", "stage.cleanup": 1, "http-get.server.output": "AAAABAAAAAEAAAXyAAAAAgAAAFQAAAACAAAPWwAAAA0AAAAPAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==", "post-ex.spawnto_x64": "%windir%sysnativedllhost.exe", "post-ex.spawnto_x86": "%windir%syswow64dllhost.exe", "watermark": 206546002, "sleeptime": 13000, "publickey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCN5UAJbAA83lOuZlkNoqHDAdV1F7OJnqUiF3kD6mwuXzJzVpu9+f4l/QIUotuiQA+vvxdM3q/XGu77WogAe90LRUknEdoD6YnU32G/ts9dbSwG6HySt7cLn5B3FsomLWjBbssH9e31TihCUvZbK6PRzmLW4SBgZigBWLXZgu7+SwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==", "http-post.client": "GAccept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Referer: http://code.jquery.com/Accept-Encoding: gzip, deflate__cfduid", "ssl": true, "publickey_md5": "30b36f36546ab96c82b296ad6761d624", "http-post.uri": "/jquery-3.3.2.min.js", "jitter": 44, "cookieBeacon": 1, "text_section": 1, "port": 443, "http-get.client": "GAccept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Referer: http://code.jquery.com/Accept-Encoding: gzip, deflate__cfduid=Cookie", "http-get.verb": "GET", "proxy_type": 2, "user-agent": "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko"
Конфиг Cobalt Strike, найденный 02.05.2023"config_payload": "http-get.uri": "91.215.85.183,/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books", "http-get.server.output": 1048576, "post-ex.spawnto_x64": "%windir%sysnativerundll32.exe", "post-ex.spawnto_x86": "%windir%syswow64rundll32.exe", "watermark": 674054486, "sleeptime": 5000, "publickey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCdklm7jdfoNZRLRiINPrUukMihsTC+79MqgtIWWXfNaxDV8V9aEjmB3sBoMcIdpwXhfrUwa+LLXaeEProFrQu3JMEVvb+VSj5Ewth5SuCID5ziqi75FbriQv6BWMwAb58sv6xRpOc9A59xxMb6B5ABNWbemTBoDEb/BhcHFOQIlwIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==", "http-post.client": "Accept: */*Content-Type: text/xml X-Requested-With: XMLHttpRequestHost: www.amazon.comsz=160x600oe=oe=ISO-8859-1;sns=3717"dc_ref=http%3A%2F%2Fwww.amazon.com", "ssl": true, "publickey_md5": "cf002d9ee0e90e71cde6cd6b7fc7e0fa", "http-post.uri": "/N4215/adj/amzn.us.sr.aps", "cookieBeacon": 1, "port": 8443, "http-get.client": "Accept: */*Host: www.amazon.comsession-token=skin=noskin;,csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996Cookie", "http-get.verb": "GET", "proxy_type": 2, "user-agent": "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" Часть 2. По следам farnetwork
Киберпреступная карьера farnetwork (у него было ранее множество никнеймов, среди которых и farnetworkl), согласно отчету специалистов Group-IB, началась как минимум в 2019 году. Он занимался рядом вредоносных программ, таких как RazvRAT, а также вредоносными программами-шифровальщиками Nemty, Nefilim, Karma. Последним известным детищем злоумышленника была партнерская программа (Ransomware as a Service — RaaS) Nokoyawa, партнеров для которой он искал на андеграундных форумах. Пример сообщения от марта 2023 ниже.
Пример сообщения от марта 2023 ниже.Рис. 3. Снимок экрана – сообщение пользователя farnetwork, доступное в F.A.C.C.T. Threat Intelligence
Всего через 4 месяца после публикации данного сообщения на форуме RAMP, пользователь farnetwork заявил что уходит в инактив, но уже на форуме exploit. Однако, довольно сложно поверить, что farnetwork решил все бросить и перестать заниматься криминальным бизнесом, связанным с вымогателями.Рис. 4. Снимок экрана – сообщение пользователя farnetwork, доступное в F.A.C.C.T. Threat Intelligence
Анализируя сообщения злоумышленников на андеграундных форумах, специалисты F.A.C.C.T. заметили сходства между стилем и тематикой сообщений пользователей с никнеймами farnetwork, rinc, salfetka. Все они так или иначе оказались связаны с программами-вымогателями и поиском доступов в корпоративные сети — подробности в новом блоге.Рис. 5 Схема связей аккаунтов farnetwork, rinc и salfetka с программами-вымогателямиКлючевые выводы исследования:
пользователи с никнеймами farnetwork, rinc, salfetka – это одно и то же лицо;
злоумышленник периодически меняет свои аккаунты и контакты на андеграундных форумах;
farnetwork ранее был связан с несколькими шифровальщиками, из последних значимых связей – партнерская программа Nokoyawa;
псевдоним rinc является анаграммой от Ransom и INC, отсылка к INC Ransom;
пользователь под псевдонимом salfetka продавал исходные коды INC Ransom;
исследуемый персонаж (farnetwork, rinc, salfetka) уже много лет находится в криминальном бизнесе, связанном с программами-шифровальщиками;
обнаружены также другие псевдонимым злоумышленника — Badbone, Blindman, rd2x45dm;анализ сетевой инфраструктуры говорит о том, что с участием этого злоумышленника могли совершаться и другие атаки шифровальщиков.
Как оказалось, аккаунтов, под которыми скрывался farnetwork, оказалось еще больше, чем в начале исследования.Рис. 6. Дерево связей аккаунтов злоумышленника
Подробнее о том, как аналитики F.A.C.C.T. пришли к подобным выводам, читайте в нашем блоге.
Источник новости: habr.com
