Средняя облачность CloudMid

Вредоносная программа маскировалась под VPN-приложение якобы от российского интегратора — компании "Информзащита" и незаметно для пользователя скачивала с его компьютера без разбора все документы, таблицы, PDF-файлы из папки "Загрузки", с рабочего стола и с диска D. В отличие от широко распространенных троянов-шпионов, CloudMid оказалась примитивным софтом, не использующим средств защиты от динамического анализа. Она не заточена на поиск какой-то конкретной финансовой либо конфиденциальной информации, а "пылесосит" абсолютно все доступные ей документы, исходя из типа файла (.doc/.docx, .pdf, .хlsх). Программа пересылает документы в открытую, не используя шифрования, и активна только, если открыто само диалоговое окно.

В описываемой атаке использовался файл с именем SSL-VPN.exe. Он маскировался под приложение "Информзащиты" — известного российского интегратора, оказывающего услуги по обеспечению информационной безопасности автоматизированных систем.

Подчеркнем, что компания "Информзащита" проинформирована о данном инциденте и, разумеется, не имеет к нему никакого отношения.

После запуска файл создает ключ реестра:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\FileFinder, записывая туда в поле Version произвольное 16-ричное число длиной 7 символов.

После этого запускается 4 простых задачи:

1) Поиск и выгрузка DOCX.

2) Поиск и выгрузка PDF.

3) Поиск и выгрузка DOC.

4) Поиск и выгрузка XSLX.

Пути для поиска:

• Папка «Загрузки» текущего пользователя
• Диск «D»
• "Рабочий стол" текущего пользователя

Сам поиск рекурсивен: программа находит документ, соответствующий одному из форматов, отправляет его на hxxp://lnfosec[.]ru/filefinder/ и возвращается к поиску снова.

Выгрузка файла производится с помощью POST запроса на URL

hxxp://lnfosec[.ru/filefinder/updoc.php?uid=[Значение из поля «Version реестра»]

Заголовок: «Content-Type: binary/octet-stream»

После запуска пользователю будет показано диалоговое окно с предложением ввести логин/пароль. После ввода данных на экран выводится сообщение:

«Ваш аккаунт успешно зарегистрирован. Сервис будет активен течение 48 часов..»

Оба вредоносных домена lnfosec[.]ru и cloud-mid[.]ru, с которыми связана программа CloudMid, были зарегистрированы в один день у одного регистратора в России.

Простой реверс CloudMid показывает, что это "сделанная на коленке" примитивная программа, не содержащая каких-либо методов защиты от динамического анализа, в частности, обфускации кода. Взаимодействие с командным сервером она осуществляет по открытым каналам без шифрования. Программа не обеспечивает персистентность, то есть нигде не закрепляется и не умеет работать в фоновом режиме - поиск файлов и их отправка происходит только пока открыто окно программы и прекращается, как только окно закрывается.

Название вредоносной программы — CloudMid — было получено из отладочной информации самой программы. Такой путь к отладочной информации указан в файле: C:\Users\LAND\Desktop\Cloudmid\CLOUD-MID.RU\CLOUD-MID.RU\obj\Debug\INFOSEC.RU.pdb. Не исключено, что никнейм злоумышленника, который распространял программу, "LAND".

Аналитики Group-IB обнаружили, что с программой CloudMid связаны два вредоносных IP-адреса 185.224.137[.]156 и 185.224.138[.]118 и оба ранее использовались под хостинг web-фишинга.

Аналитики Group-IB публикуют индикаторы этой атаки, чтобы все организации могли проверить не были ли они атакованы этой группой:

Индикаторы:

SSL-VPN.exe

MD5 37729ee356d3c2776e3d7eb37cd94879

SHA1 d8c3f458df1899507eca4fe4090518f1c8b0ad55

SHA256 8b0131541325801a12f7f9a25ab2a94b1c05831802fcc67e55b654daf169ceb6


lnfosec[.]ru

cloud-mid[.]ru

185.224.137[.]156

185.224.138[.]118