TeleBots возвращается: целенаправленная против Украины атака на цепочку поставки

Специалисты ESET подготовили анализ, содержащий подробности масштабной атаки программы-вымогателя Diskcoder.C, направленной на украинских пользователей. В ходе исследования было выявлено сходство между несколькими кампаниями киберпреступной группы TeleBots, которая в последнее время организовывает атаки на компьютерные системы объектов критической инфраструктуры Украины.


Рис. 1. Временная последовательность атаки на цепочку поставки,
которая была направлена против Украины

Так, в декабре 2016 года TeleBots осуществила ряд кибератак, жертвами которых стали цели особого значения. Тогда главной задачей хакеров было планомерное осуществление диверсий в украинском киберпространстве. Во время первой волны атак киберпреступники использовали вредоносное программное обеспечение KillDisk, которое просто перезаписывало определенные файлы и демонстрировало изображения с телевизионного сериала «Мистер Робот» («Mr. Robot»). Для осуществления инфицирования угроза использовала бэкдор Python/TeleBot, в честь которого киберпреступная группа и получила название Telebots. Во время второй волны атак авторы KillDisk добавили шифрования и контактную информацию во вредоносное программное обеспечение для сходства с типичной атакой программы-вымогателя. Однако киберпреступники не были заинтересованы в финансовом вознаграждении, их истинная цель заключалась в причинении вреда компаниям, которые были атакованы.

Рис. 2. Изображение, которое демонстрировала вредоносная программа KillDisk
во время первой волны атакв декабре 2016 года

В 2017 году атаки преступной группы TeleBots стали более изощренными. За период с января по март TeleBots атаковала программное обеспечение (не связанное с M.E. Doc) и, используя туннели VPN, получила доступ к внутренним сетям нескольких финансовых учреждений. Во время этой атаки группа TeleBots расширила свой арсенал обновленными инструментами и двумя бэкдорами, что позволило ей распространять программу-вымогателя Win32/Filecoder.NKH для осуществления шифрования файлов (кроме файлов, расположенных в каталоге C:\Windows). В дополнение к вредоносных программ для Windows, группа TeleBots использовала также программу-вымогатель Python/Filecoder.R для атаки на серверы Linux.

Рис. 3. Код программы-вымогателя Python/filecoder.R для Linux, который использовался группой TeleBots

В мае 2017 года специалисты ESET заметили активность другого семейства вредоносных программ, известного как Win32/Filecoder.AESNI.C (или XData). В большинстве случаев этот вымогатель распространялся в Украине, поскольку именно она была начальным вектором атаки. Согласно телеметрии сервиса LiveGrid®, данная угроза активировалась сразу после обновления программного обеспечения M.E.Doc. Для распространения программа-вымогатель Win32/Filecoder.AESNI.C использовала механизм, который позволял действовать автоматически в инфицированной среде с помощью утилиты SysInternals "PsExec. Однако сложилось впечатление, что во время этой атаки преступники так и не достигли финальной цели или они готовились к другой атаки. В частности, злоумышленники разместили основные ключи дешифрования на форуме, что позволило специалистам ESET создать инструмент для расшифровки файлов жертв программы-вымогателя.

А уже 27 июня 2017 года украинских пользователей массово атаковала новая программа-вымогатель — Diskcoder.C. Данная вредоносная программа имеет возможность шифровать основной загрузочный сектор (MBR) с помощью кода, который был позаимствован у подобного шифровальщика Win32/Diskcoder.Petya. Вот почему некоторые исследователи могут относить эту угрозу к ExPetr / PetrWrap / Petya / NotPetya. Однако, в отличие от оригинального шифровальщика Petya, авторы Diskcoder.C меняют MBR-код таким образом, чтобы восстановление было невозможным. В частности, злоумышленники не смогут предоставить ключ для дешифровки и он не сможет быть набран на экране жертвы, поскольку сгенерированный ключ содержит недопустимые символы.

Рис. 4. Сообщение Diskcoder.C с инструкцией для совершения платежа

Визуально этот MBR модуль Diskcoder.C выглядит несколько модифицированной версией Petya: сначала выдает сообщение, которое выглядит как CHKDSK программа для проверки диска. Именно в этот момент угроза фактически осуществляет шифрование данных. Когда шифрования выполнено, при загрузке в части MBR отображается следующее сообщение с платежной инструкцией, но, как уже отмечалось, эта информация не имеет никакого значения.

После запуска угроза делает попытки распространения с помощью известного эксплойта ETERNALBLUE, используя бэкдор DoublePulsar. Таким же образом использовала вредоносная программа-вымогатель WannaCry. Другой способ был идентичным с вымогателем Win32/Filecoder.AESNI.C (также известным как XData), который использовал упрощенную версию Mimikatz для получения паролей, а затем распространял угрозу с помощью SysInternals PsExec. Кроме того, преступники реализовали третий метод распространения с помощью механизма WMI.

Все эти три метода были использованы для распространения вредоносного кода внутри локальной сети. Но в отличие от уже хорошо всем известного вредоносного программного обеспечения WannaCry, которое использовало уязвимость для распространения угрозы целом, эксплойт ETERNALBLUE использовался угрозой Diskcoder.C только для компьютеров внутри сети.

Почему случаи инфицирования встречаются не только в Украине? Исследование показало, что пострадавшие компании в других странах имеют VPN-связи с их филиалами в Украине или деловыми партнерами.

Таким образом, группа TeleBots продолжает осуществлять разрушительные кибератаки в Украине. Кроме фишинговых электронных писем с документами с вредными макросами, злоумышленники начали использовали более сложную схему — атаку на цепь поставки. Сначала главной целью хакеров был только финансовый сектор в Украине, но последние атаки уже нацелены на бизнес-среду страны, и, вероятно, с ненадлежащим образом оцененными возможностями распространения угрозы. Именно поэтому вредоносное программное обеспечение вышло из-под контроля.

Детальный анализ вышеперечисленных угроз, которые в течение последних месяцев массово атакуют Украину, доступен на странице официального блога ESET — www.welivesecurity.com (перевод доступен по ссылке).

Идентификаторы угрозы

ESET обнаруживает угрозу как:
Win32/TeleBot trojan
VBS/Agent.BB trojan
VBS/Agent.BD trojan
VBS/Agent.BE trojan
Win32/PSW.Agent.ODE trojan
Win64/PSW.Agent.K trojan
Python/Filecoder.R trojan
Win32/Filecoder.AESNI.C trojan
Win32/Filecoder.NKH trojan
Win32/Diskcoder.C trojan
Win64/Riskware.Mimikatz application
Win32/RiskWare.Mimikatz application

Командные (C&C) серверы:
transfinance.com[.]ua (IP: 130.185.250.171)
bankstat.kiev[.]ua (IP: 82.221.128.27)
www.capital-investing.com[.]ua (IP: 82.221.131.52)

Легитимные серверы, которые были инфицированы и несанкционированно использованы угрозой:
api.telegram.org (IP: 149.154.167.200, 149.154.167.197, 149.154.167.198, 149.154.167.199)

VBS бэкдор:
1557E59985FAAB8EE3630641378D232541A8F6F9
31098779CE95235FED873FF32BB547FFF02AC2F5
CF7B558726527551CDD94D71F7F21E2757ECD109

Mimikatz:
91D955D6AC6264FBD4324DB2202F68D097DEB241
DCF47141069AECF6291746D4CDF10A6482F2EE2B
4CEA7E552C82FA986A8D99F9DF0EA04802C5AB5D
4134AE8F447659B465B294C131842009173A786B
698474A332580464D04162E6A75B89DE030AA768
00141A5F0B269CE182B7C4AC06C10DEA93C91664
271023936A084F52FEC50130755A41CD17D6B3B1
D7FB7927E19E483CD0F58A8AD4277686B2669831
56C03D8E43F50568741704AEE482704A4F5005AD
38E2855E11E353CEDF9A8A4F2F2747F1C5C07FCF
4EAAC7CFBAADE00BB526E6B52C43A45AA13FD82B
F4068E3528D7232CCC016975C89937B3C54AD0D1

Win32/TeleBot:
A4F2FF043693828A46321CCB11C5513F73444E34
5251EDD77D46511100FEF7EBAE10F633C1C5FC53

Win32/PSW.Agent.ODE (CredRaptor):
759DCDDDA26CF2CC61628611CF14CFABE4C27423
77C1C31AD4B9EBF5DB77CC8B9FE9782350294D70
EAEDC201D83328AF6A77AF3B1E7C4CAC65C05A88
EE275908790F63AFCD58E6963DC255A54FD7512A
EE9DC32621F52EDC857394E4F509C7D2559DA26B
FC68089D1A7DFB2EB4644576810068F7F451D5AA

Win32/Filecoder.NKH:
1C69F2F7DEE471B1369BF2036B94FDC8E4EDA03E

Python/Filecoder.R:
AF07AB5950D35424B1ECCC3DD0EEBC05AE7DDB5E

Win32/Filecoder.AESNI.C:
BDD2ECF290406B8A09EB01016C7658A283C407C3
9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9
D2C8D76B1B97AE4CB57D0D8BE739586F82043DBD

Win32/Diskcoder.C:
34F917AABA5684FBE56D3C57D48EF2A1AA7CF06D

PHP shell:
D297281C2BF03CE2DE2359F0CE68F16317BF0A86

Специалисты ESET регулярно обновляют список инструкций для пользователей по осуществлению проверки и «лечения» систем, устранения последствий атаки, проведения мер по усилению безопасности корпоративной ИТ-инфраструктуры.

Обращаем Ваше внимание! Актуальные рекомендации специалистов ESET всегда доступны в документе «ESET_Recommendations.pdf». Пожалуйста, следите за обновлениями!

В случае если Ваш компьютер уже заражен, пожалуйста, отправьте запрос в службу технической поддержки ESET в Украине на электронный адрес support@eset.ua, указав контактный номер телефона и имя ответственного лица для обратной связи.