Статья

Awesome Image
Awesome Image

1 октября 2019


В июне 2019 года RTM сменил технику получения своих управляющих серверов


Подверженные системы

Microsoft Windows


Описание угрозы

RTM обладает модульной архитектурой и используется злоумышленниками для кражи денежных средств со счетов юридических лиц. Каждый модуль может загружаться по необходимости и выполнять определённые функции: захват нажатия клавиш, снимки экрана, сбор информации о системе, подмена реквизитов платёжных документов и др. Материалы о влиянии и тактиках работы RTM представлены в разделе «Дополнительные материалы».

В данном материале рассматриваются последние изменения в тактиках и техниках атак RTM, выявленные нашими специалистами.

Главные изменения:

  • Изменение функционала получения адресов C&C-серверов - серверы, с помощью которых злоумышленники способны, например, контролировать ВПО и отдавать команды его участникам.
  • Использование вредоносного программного обеспечения семейства «Pony» для сбора информации о хосте.

Начиная с 2016 года в качестве размещения C&C-серверов злоумышленники использовали домены в зоне «[.]bit». Доменная зона «[.]bit» не поддерживается ICANN/IANA, поэтому публичные DNS-серверы (например, Google: IP 8.8.8.8) не поддерживают преобразование имени домена «*[.]bit».

Пример одного из таких C&C-серверов RTM: stat-counter-7[.]bit.

Для получения IP-адреса RTM обращался на один из следующих ресурсов:

  • «namecha.in» - является легитимным ресурсом, осуществляет регистрацию и управление всей доменной зоной «[.]bit».
  • «namecoin.cyphrs.com» -  легитимный домен который поддерживает разрешение имён доменной зоны «[.]bit».

Основную информацию по указанному в примере домену, используемому злоумышленниками можно получить, используя упомянутый выше «namecha.in»:



Как видно на рисунке, последнее изменение для данного сервера датируются 3 июня 2019.

Также для преобразования доменов зоны «[.]bit» использовались DNS-сервера OpenNIC, однако с августа 2019 года данный проект перестал поддерживать зону «[.]bit» в связи с тем, что она стала часто использоваться злоумышленниками.

Начиная с июня 2019 года RTM сменил схему получения IP-адресов своих C&C серверов на формирование запроса через один или несколько блокчейн-обозревателей. Применялись следующие легитимные ресурсы:

  • chain.so
  • viabtc.com
  • blockchain.info
  • blockcypher.com


Анализ ВПО

В сентябре было проведено исследование новой модификации RTM, проанализировано более 10 образцов ВПО. Пример, одного из исследуемых образцов:


MD5
a6c8bd1f343d4f4dfe14f3cdc97ab3cb
SHA1
fb0d5d609699094a1cbe7b55c6e0706e81896498
SHA256
7a737c1640fc0a636d5093d70320a12b45f866c970a7da61368c584713f480b9
File Type
Win32 EXE
File Size
82.5 KB (84480 bytes)
File Type Extension
exe
Detection 42/66
Посмотреть


Обнаруженные действия ВПО в скомпрометированной системе описаны в пошаговом виде:

Шаг 1. Запуск образца RTM. После запуска ВПО осуществляет DNS-запрос на один или несколько блокчейн-обозревателей:

  • blockchain[.]info
  • blockcypher[.]com
  • coinmarketcap[.]com – данный домен ранее не фиксировался ни в одном из аналитических отчетов.

Шаг 2. Получен IP-адрес актуального C&C-сервера RTM - 91.200.100[.]134

Шаг 3. Направлен GET-запрос.

hxxp://91.200.100[.]134/index.php?id=0&un=61646d696e&cn=4445534b544f502d4a474c4c4a4c44

“un=61646d696e&cn=4445534b544f502d4a474c4c4a4c44” - уникальна для каждого скомпрометированного хоста с которого идёт запрос.

Шаг 4. Получен файл размером 97 кб.  Детектируется как «Pony», «Fareit» или «Tepfer».

Если попробовать позже самостоятельно открыть этот URL, то файл не загружается (status code – 200, размер файла – 22 байта)

Данный файл представляет из себя вредоносную динамическую библиотеку.


MD5
759da7c6ba6ead1d9fe6b507b622097d
SHA1
a16c96bdfbdde22d89e1ab50cba3ed0292b2ef17
SHA256
f62730303af950ad9895f2d7ef00bcb7b5f4f4dc30ad35bf9054e6e4f8e92761
File Type
Win32 DLL
File Size
97 KB (99328 bytes)
File Type Extension
dll
Detection 52/68
Посмотреть


Относится к типу InfoStealer, имеет следующий функционал:

  • сбор информации с заражённого хоста;
  • сжатие и шифрование собранных данных;
  • отправка на сервер злоумышленников (POST-запрос в виде "***.php");
  • завершение процесса и удаление тела ВПО.

Шаг 5. Осуществляет поиск файлов и папок на скомпрометированном хосте.

Пример перечня ПО, поиск которого осуществляли исследуемые образцы ВПО:

  1. CuteFTP
  2. SmartFTP
  3. FlashFXP
  4. TurboFTP
  5. FileZilla
  6. BulletProof Software
  7. FTP Explorer
  8. CoffeeCup Software
  9. ExpanDrive
  10. LeapFTP
  11. NetDrive
  12. Directory Opus
  13. Frigate3
  14. BitKinex
  15. FTPRush
  16. ALFTP
  17. NovaFTP
  18. The Bat!
  19. Pocomail
  20. Bitcoin

Как видно из перечня, поиск осуществляется по ПО, используемым для работы с FTP, а также браузеры и почтовые клиенты.

Шаг 6. Для идентификации хоста считывает/создаёт в ветке реестра «HKEY_CURRENT_USER\Software\WinRAR» ключ «HWID».


Key
HKEY_CURRENT_USER\Software\WinRAR
Name
HWID
Type Value
REG_BINARY
Value
7B39433846303833302D413146342
D343342342D424133392D3141423943373036333645427D
Значение «value» в ASCII
{9C8F0830-A1F4-43B4-BA39-1AB9C70636EB}


Шаг 7. Считывает ветку/ветки реестра с перечнем установленного ПО:


Key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Uninstall\
Key
HKEY_LOCAL_MACHINE\SOFTWARE\
WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\


Шаг 8. Отправляет собранную информацию методом POST-запроса на C&C сервер.

hxxp://91.200.100[.]66/g_38472341.php

Размер отправляемых данных зависит от найденной информации.

Шаг 9. Активируется модуль удаления тела ВПО.



Действия ВПО можно просмотреть в видео по ссылке:

https://content.any.run/tasks/77930ee2-5771-44cb-b578-216d0c23f223/download/mp4

По ссылке начнётся автоматическая загрузка файла размером 16 МБ.

 

Рекомендации

Как и большинство современных вредоносных семейств RTM зависит от сетевого взаимодействия со своей управляющей инфраструктурой. При её недоступности негативный эффект от заражения системы будет минимальным.

При отсутствии необходимости в использовании рекомендуем заблокировать сетевое взаимодействие с доменами и всеми их поддоменами (не рекомендуется блокировать по IP):

  • blockchain.info
  • blockcypher.com
  • coinmarketcap.com
  • chain.so
  • viabtc.com
  • cyphrs.com
  • namecha.in

Так же рекомендуем настроить следующие сценарии выявления компьютерных атак:

  • отслеживание запросов DNS/HTTP(S) к указанным выше адресам и доменам в зоне «*.bit».
  • создание процессов (Event ID 4688), предварительно настроив расширенный аудит, с параметрами связки команд «ping + del» в поле «Process Command Line».

Дополнительные материалы:

  1. https://namecha.in/name/d/stat-counter-7


RTM:

  1. https://www.group-ib.ru/blog/email
  2. https://habr.com/ru/company/eset/blog/322364/
  3. https://unit42.paloaltonetworks.com/russian-language-malspam-pushing-redaman-banking-malware/


Pony (так же известен как "Fareit" и "Tepfer"):

  1. https://resources.infosecinstitute.com/a-case-study-of-information-stealers-part-i/
  2. https://resources.infosecinstitute.com/a-case-study-of-information-stealers-part-ii/
  3. https://resources.infosecinstitute.com/a-case-study-of-information-stealers-part-iii/
  4. https://threats.kaspersky.com/ru/threat/Trojan-PSW.Win32.Tepfer/
  5. https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PWS%3AWin32%2FFareit