31 октября вышло два отчета: один от индийской Seqrite Labs (здесь), а другой от американской Cyble (здесь).

Обе компании анализировали фишинговую кампанию, получившую наименование SkyCloak, в которой задействуется бэкдор OpenSSH в сочетании со скрытой службой Tor и obfs4 для сокрытия трафика.

Проведя анализ исполненных на русском языке приманок и других артефактов, исследователи Seqrite Labs четко определили, что основными целями SkyCloak являлись российские ВДВ и белорусский спецназ.

В то время, как в Cyble успели «оперативно» атрибутировать угрозу и приписали активность пророссийской APT44 (Sandworm), сославшись на некие схожести в TTPs.

Правда, после упоминания неких разведданных от CERT-UA и SSSCIP в конце отчета Cyble все встало на свои места.

Тут даже, не углубляясь в детали анализа образцов, очевидно, что исполненная на русском языке приманка точно не могла применяться в атаках на ВСУ или военнослужащих каких-либо иных стран.

Но у Cyble другое мнение, там со всей серьезностью заявляют (цитата): «учитывая источник и формулировки, на данном этапе неясно и маловероятно, что эта атака направлена против России или Беларуси».

Суть Operation SkyCloak сводится к побуждению получателей фишинговых писем открыть ZIP-файл, содержащий скрытую папку со вторым архивным файлом, а также LNK, запуск которого реализует многоступенчатую цепочку заражения.

Они запускают команды PowerShell, которые действуют как начальный этап дроппера, где помимо LNK используется другой архивный файл для настройки всей цепочки.

Одним из промежуточных модулей является стейджер PowerShell, который отвечает за выполнение проверок на антианализ для обхода песочниц, а также за запись адреса Tor в файл с именем hostname в папке C:\Users\<Имя пользователя>\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\.

В ходе аналитических проверок вредоносная ПО подтверждает, что количество последних LNK-файлов в системе больше или равно 10, а также проверяет, что текущее количество процессов больше или равно 50. В противном случае PowerShell внезапно прекращает выполнение.

После этого скрипт приступает к отображению фейкового PDF, сохраненного в папке logicpro, одновременно настраивая сохранение на машине с помощью запланированной задачи под именем githubdesktopMaintenance, которая запускается автоматически и выполняется с регулярными интервалами каждый день в 10:21 по Гринвичу.

Она предназначена для запуска logicpro/githubdesktop.exe, который представляет собой переименованную версию sshd.exe, легитимного исполняемого файла, связанного с OpenSSH для Windows, что позволяет установить службу SSH, которая ограничивает связь предварительно развернутыми авторизованными ключами, хранящимися в той же папке logicpro.

Помимо включения возможности передачи файлов по протоколу SFTP, вредоносная ПО также создаёт вторую запланированную задачу, настроенную на запуск logicpro/pinterest.exe - модифицированного двоичного файла Tor для создания скрытой службы, которая взаимодействует с .onion-адресом злоумышленника, маскируя сетевой трафик с помощью obfs4.

Кроме того, она реализует переадресацию портов для нескольких критически важных служб Windows, таких как RDP, SSH и SMB, для облегчения доступа к системным ресурсам через Tor.

После установления соединения вредоносная ПО извлекает системную информацию, а также уникальный URL-адрес хоста .onion, идентифицирующий скомпрометированную систему с помощью команды curl.

В конечном итоге злоумышленник получает возможность удалённого доступа к скомпрометированной системе, получив URL-адрес .onion жертвы по каналу С2.

Как отмечают исследователи Seqrite Labs, для обхода мониторинга сети используются специальные конфигурации подключаемого транспорта и SSHD, а сами атаки однозначно направлены на Россию и Беларусь.

При этом аналогичные атаки были замечены у проукраинских APT-групп - Angry Likho (Sticky Werewolf) и Awaken Likho (Core Werewolf).

Это в очередной раз к вопросу об «атрибуции» в западном инфосеке.