Кибершпионы Sticky Werewolf решили почистить компании в Беларуси под видом загрузки CCleaner

Кибершпионская APT-группа Sticky Werewolf, вероятно, попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного доступа Ozone RAT. Напомним, что в конце января в России перестали работать антивирус Avast и программа очистки CCleaner — по этой причине старые чешские программы стали опять на слуху, чем решили, видимо, воспользоваться атакующие.

В пятницу, 9 февраля, с разницей в 5 минут на платформу VirusTotal были загружены сначала вредоносная ссылка, а затем самораспаковывающийся архив (SFX), скачиваемый по ней. Так как ссылка и SFX-архив были загружены из одного источника, аналитики полагают, что потенциальная цель атаки Sticky Werewolf может располагаться в Республике Беларусь.

Исследователей из департамента Threat Intelligence компании F.A.C.C.T. привлек необычно большой размер скачиваемого файла — 75.79 МБ. Дело в том, что на этот раз в качестве приманки использовался не легковесный документ, а установщик CCleaner — программы для очистки и оптимизации Windows, который и увеличил размер SFX-архива.

Сам SFX-архив с именем ccleaner_downloads.exe был подготовлен в NSIS Installer и, помимо вышеупомянутого установщика CCleaner, содержит SFX-архив ChemExamples.exe, подготовленный в 7z. В нем — различные файлы, среди которых обфусцированный AutoIt-скрипт и обфуцированный BAT-файл, собирающий из остальных файлов легитимный интерпретатор AutoIt. После запуска AutoIt-скрипта в память процесса ipconfig.exe внедряется вредоносная программа, представляющая из себя модуль загрузки трояна удаленного доступа Ozone RAT.

Напомним, что Sticky Werewolf — это кибершпионская группа, атакующая госучреждения и финансовые компании в России и Белоруссии. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, стилер MetaStealer (вариация RedLine Stealer).

В декабре 2023 года Sticky Werewolf дважды атаковали через почтовые рассылки российскую фарму, прикрываясь Министерством по чрезвычайным ситуациям и Минстроем, а в январе 2024 года атаковала российские организация фейковыми письмами, якобы от имени ФСБ.

Индикаторы компрометации:

ccleaner_downloads.exe
MD5: bf3eafa83b3bdee1f42cc9fb3bd66eb0
SHA-1: ca65a505196383e9bd06500e2d80cd2219191969
SHA-256: a015790f512784ec1e552402c60c402d6ff292143ab888811cd8bb70da572860

ChemExamples.exe
MD5: d8c6199b414bdf298b6a774e60515ba5
SHA-1: 3436370107bb02f0966acc2d104ed1edc99a1896
SHA-256: e50987f5f13de4a552778a691032d9fce3a102bfad3fb5b7edc4c48d2aa3b4f2

g, h
MD5: b579010d05f9af4884d64d9ea74a10f1
SHA-1: 562b7eae0b178ba3ea502b10a5137af5049469e6
SHA-256: fe7c1337ecc319a62d325c720c24bd953f2ac51c72ba456aff16894b958f24b5

Файлы:
%TEMP%ccsetup620.exe
%TEMP%ChemExamples.exe
%TEMP%7ZipSfx.000Bailey
%TEMP%7ZipSfx.000Biz
%TEMP%7ZipSfx.000Closest
%TEMP%7ZipSfx.000Debug
%TEMP%7ZipSfx.000Monitored
%TEMP%7ZipSfx.000Reasoning
%TEMP%7ZipSfx.000Yourself
%TEMP%7ZipSfx.000<случайная последовательность из цифр 0-9>Infectious.pif (например: %TEMP%7ZipSfx.0001181Infectious.pif)
%TEMP%7ZipSfx.000<случайная последовательность из цифр 0-9>g (например: %TEMP%7ZipSfx.0001181g)
%APPDATA%MicrosoftWindowsStart MenuProgramsStartupChemExamples.lnk
%APPDATA%MicrosoftWindowsStart MenuProgramsStartupCheetahGuard.url
%LOCALAPPDATA%GuardTech SolutionsCheetahGuard.pif (копия Infectious.pif)
%LOCALAPPDATA%GuardTech Solutionsh (копия g)
%LOCALAPPDATA%GuardTech SolutionsCheetahGuard.js

Процессы:
cmd.exe /k cmd < Yourself & exit
findstr.exe /I “avastui.exe avgui.exe nswscsvc.exe sophoshealth.exe”
findstr.exe /I “wrsa.exe”
cmd.exe /c mkdir <случайная последовательность из цифр 0-9> (например: cmd.exe /c mkdir 1181)
cmd.exe /c copy /b Reasoning + Bailey + Biz + Debug + Monitored <случайная последовательность из цифр 0-9>Infectious.pif
cmd.exe /c copy /b Closest <случайная последовательность из цифр 0-9>g
<случайная последовательность из цифр 0-9>Infectious.pif <случайная последовательность из цифр 0-9>g (например: 1181Infectious.pif 1181g)
ping.exe -n 5 localhost
cmd.exe /k echo [InternetShortcut] > “%APPDATA%MicrosoftWindowsStart MenuProgramsStartupCheetahGuard.url” & echo URL=”%LOCALAPPDATA%GuardTech SolutionsCheetahGuard.js” >> “%APPDATA%MicrosoftWindowsStart MenuProgramsStartupCheetahGuard.url” & exit
%WINDOWS%SysWOW64ipconfig.exe (родительский процесс explorer.exe)
%LOCALAPPDATA%GuardTech SolutionsCheetahGuard.pif %LOCALAPPDATA%GuardTech Solutionsh

URLs:
hxxps://mail.ru-storage[.]com/ccleaner_downloads
hxxps://store14.gofile[.]io/download/direct/182fba2c-52a1-45c7-9cea-ecbf1c73f1d0/ccleaner_downloads.exe

Домен:
mail.ru-storage[.]com

IP-адрес:
194.61.121[.]167:1145

Source: https://habr.com/ru/companies/f_a_c_c_t/news/792672/