Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили pdf‑файл с политинформацией о прошедших президентских выборах с модифицированным стилером SapphireStealer. Эту вредоносную программу, способную перехватывать учетные данные из браузеров и из мессенджера Telegram, злоумышленники распространяли с поддельного ресурса, мимикрирующего под домен Правительства РФ.
Учитывая, что это первый случай, когда киберпреступники во время выборов распространяли ВПО, замаскированное под официальные документы Центральной избирательной комиссии, не исключено, что подобный вектор атаки они могут использовать и во время следующих выборов — Единый день голосования назначен на 8 сентября 2024 года.
Что за SapphireStealer
История SapphireStealer началась немного раньше выборной кампании. В начале марта 2024 года было опубликовано https://cyble.com/blog/sapphiresteal...y-on-russians/об этом ВПО, нацеленном на россиян. Злоумышленники распространяли стилер через домен, мимикрирующий под домен правительства России.
Специалисты F.A.C.C.T. обнаружили, что, предположительно, в марте 2022 исходный код этого стилера был выложен в Telegram-канале, а также опубликован на форуме zelenka.guru пользователем под псевдонимом barion89.
https://habrastorage.org/r/w1560/get...4298733c27.png
Скриншот публикации на форуме zelenka.guru
SapphireStealer — это стилер, написанный на C#. Он собирает информацию о хосте, данные из браузеров (Chrome, Opera, Brave, Microsoft Edge и так далее), файлы. Также он способен делать снимки экрана (*но не в данном случае) и отправлять украденные данные в виде ZIP‑архивов в email-письмах. Но так как он был опубликован в публичном доступе, то функциональность экземпляров SapphireStealer может варьироваться. В нашем случае, передача информации осуществляется через Телеграм‑бот, а также сервер, IP‑адрес которого будет получен через Телеграм‑канал.
SapphireStealer идет на выборы
Специалисты Threat Intelligence F.A.C.C.T. обнаружили, что вредоносная активность, упомянутая Cyble, также использовала тематику выборов в России. С того же домена, указанного в оригинальной статье (домен govermentu[.]ru, зарегистрированный 29.01.2024), по следующей ссылке был скачан файл “О предоставлении информации о предстоящих выборах.exe”:
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">hxxps://t[.]ly/G8hGq → hxxps://govermentu[.]ru/media/3/O_predostavlenii_informatsii_o_predst_yashchikh_vy borakh.exe</pre>
Данный файл был загружен на VirusTotal 15 Марта 2024 года.
Первая стадия выполнения файла является вариантом стилера SapphireStealer, который был описан в статье Cyble. Интересно, что данный стилер содержит еще один исполняемый файл (пейлоад), который стилер ставит в автозагрузку через планировщик задач Windows. Пейлоад представляет собой загрузчик, который время от времени обращается к серверу. Адрес сервера загрузчик получает при обращении к Телеграм-каналу. Загрузчик парсит код веб-страницы, достает оттуда строку закодированную Base64, декодирует её и получает адрес сервера, в нашем случае это 193.39.185[.]4.
Далее загрузчик получает внешний IP-адрес жертвы, обращаясь к сервису checkip.dyndns[.]org, а также формирует уникальный идентификатор: на основе значений processorID (процессор) и SerialNumber (системная плата). Загрузчик формирует запросы к серверу вида: hxxp://193.39.185[.]4/download?ip=[внешний IP-адрес жертвы]&amp;uId=[уникальный идентификатор жертвы]. Семпл может получить ответ от сервера, записать его в файл во временном каталоге и далее запустить.
Для отвлечения внимания жертвы, после запуска стилера на устройстве жертвы открывается документ‑приманка с именем «О предоставлении информации о предстоящих выборах.pdf»:
https://habrastorage.org/r/w1560/get...2c180f62fc.png
Содержимое документа-приманки
https://habrastorage.org/r/w1560/get...cfdfc979dc.png
Содержимое документа-приманки
https://habrastorage.org/r/w1560/get...757a2415c5.png
Содержимое документа-приманки
Согласно мета-информации документа он был создал 13 марта 2024, накануне выборов.
Отметим, что помимо доменного имени govermentu[.]ru, в тот же день и вероятно тем же злоумышленником был создан домен supgov[.]ru, но на момент исследования эксперты не обнаружили связанной с ним вредоносной активности.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 498px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">Индикаторы компрометации
SapphireStealer
О предоставлении информации о предстоящих выборах.exe
MD5: 67201e170f705ad22ebc216fe5a9c397
SHA-1: 3dd56230112775bd89526d6eecdeca74c10f77fb
SHA-256: 5c01531a6b7f25b92e9a2d0d67fe7057813140d2c60dc0bb35 6b190aa91a5857
Downloader
MicrosoftEdgeUpdate.exe
MD5: a098dc2904a1810e6da68d91de26a61e
SHA-1: a3299b610db24fcbd1cf29ade00d45a5a02b7b82
SHA-256: d45a44a7ddd662a65eb623df1cb742ee38922f8f4e6ed2319f 94cc62290798c7
Легитимный PDF-документ
О предоставлении информации о предстоящих выборах.pdf (Выборы.pdf)
MD5: 7a283eaae42e28e03488206194fb17eb
SHA-1: 7b642b237f92fae45eaf6fa311c7f93c8ba27f9c
SHA-256: cd1f33f5ea2c4d3bc6cb4c2532df1c8373a350f70af9364f0c de1934e703ed75
Пути к файлам:
%TEMP%\О предоставлении информации о предстоящих выборах.pdf
%APPDATA%\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate .exe
Задача в планировщике задач:
Задача с именем "MicrosoftEdgeUpdateTaskMachineCore{EC48D71D-B5F9-4823-A499-6D4D49E8FA8F}" выполняет команду "%APPDATA%\Microsoft\EdgeUpdate\MicrosoftEdgeUpdat e.exe", которая будет выполняться каждый час.
URLs:
hxxps://govermentu[.]ru/media/3/O_predostavlenii_informatsii_o_predst_yashchikh_vy borakh.exe
hxxps://t[.]me/s/ASFGS43TQFGHTRHGFD24
hxxp://193.39.185[.]4/download?ip=[внешний IP-адрес жертвы]&amp;uId=[уникальный идентификатор жертвы]
Домены:
govermentu[.]ru
supgov[.]ru
IP-адрес:
193.39.185[.]4</pre>
https://habr.com/ru/companies/f_a_c_...ticles/803339/