Selon Doctor Web, une entreprise d’ingénierie russe a de nouveau été visée par le groupe APT Scaly Wolf, deux ans après une première intrusion. L’éditeur a analysé l’attaque détectée fin juin 2025 et reconstitué la chaîne d’infection, mettant en lumière un backdoor modulaire « Updatar » et l’usage d’outils de post-exploitation standard.

• Vecteur initial 📧: début mai 2025, des e-mails « financiers » sans texte contenaient un PDF leurre et une archive ZIP protégée par mot de passe. Le ZIP renfermait un exécutable déguisé en PDF via une double extension (.pdf.exe). Le binaire initial, détecté comme Trojan.Updatar.1 (signature ajoutée le 6 mai 2025), sert de téléchargeur pour les autres modules du backdoor afin d’exfiltrer des données. La nouvelle version de Updatar.1 utilise une « RockYou Obfuscation »: initialisation massive de chaînes RockYou.txt et encodage XOR + décalage aléatoire des chaînes utiles, rendant l’analyse plus difficile.

• Chronologie et propagation 🧭:

  • Ordinateur 1 (12 mai): absence d’antivirus Dr.Web ⇒ exécution de Updatar.1 puis déploiement de Updatar.2 et Updatar.3. Le 14 mai, création d’un job BITS pour récupérer shell.exe (chargeur du corps principal de Meterpreter). Installation de FileManager.exe (module de transfert de fichiers) pour le vol de documents, usage de HandleKatz pour vider LSASS et voler des identifiants, ajout de RDP Wrapper, et déploiement d’outils de tunneling (Chisel, FRP).
  • Ordinateur 2 (à partir du 14 mai): accès réseau via identifiants volés. Tentative d’installer Updatar.1 via BITS (bloqué par Dr.Web). Le 29 mai, installation manuelle de Updatar.2 et Updatar.3; le 3 juin, ajout de Meterpreter.
  • Ordinateur 3 (à partir du 23 juin): accès RDP avec identifiants compromis; tentative d’exécuter une chaîne PowerShell (décode base64 puis shellcode) pour télécharger Meterpreter depuis 77[.]105[.]161[.]30, bloquée par Dr.Web (DPC:BAT.Starter.613). Changement de tactique: utilisation de RemCom (Program.RemoteAdmin.877) pour exécuter des commandes de découverte et affaiblir Windows Defender (désactivation de la protection temps réel, exclusions), inventaire de Dr.Web, et téléchargement via BITS de shellcode.exe depuis hxxps[:]//roscosmosmeet[.]online vers Pictures\zabix.exe. Tentatives d’ancrage avec shellcode.exe (BackDoor.Shell.244/Meterpreter) et installer.exe (Trojan.Updatar.1), également bloquées.

• Infrastructure et attribution 📡🕵️: plusieurs C2 et points de distribution ont été observés. roscosmosmeet[.]online est la source principale de téléchargement des malwares; toutes les variantes Meterpreter pointent vers 77[.]105[.]161[.]30 (ports variés). Les modules Updatar.3 communiquent avec updating-services[.]com; Updatar.1/2 selon versions utilisent adobe-updater[.]net et updatingservices[.]net. Des artefacts communs dans les échantillons (dont des apps factices découvertes dans l’infrastructure) lient fermement ces outils au même développeur associé au groupe Scaly Wolf. Les e-mails malveillants proviennent d’adresses Mail.ru.

• Outils observés 🧰: Updatar (Trojan.Updatar.1/.2/.3), FileManager.exe, BackDoor.Shell.244 et BackDoor.Meterpreter.259 (Meterpreter), Program.RemoteAdmin.877 (RemCom), Tool.HandleKatz, Tool.Chisel, Tool.Frp. Dans l’infrastructure (non utilisés dans cette campagne): Trojan.Uploader.36875 (exfiltration) et BackDoor.Siggen2.5423 (contrôle VNC), ainsi que des applications factices affichant de faux messages (désinstallation sécu, faux scan Windows, « stabilisation » des réglages) pour tromper l’utilisateur et lancer une cible spécifiée.

• IOCs et TTPs 🔎

  • IOCs:
    • IP: 77[.]105[.]161[.]30
    • Domaines: roscosmosmeet[.]online; updating-services[.]com; adobe-updater[.]net; updatingservices[.]net
    • Fichiers/artefacts: shell.exe; FileManager.exe; shellcode.exe; installer.exe; zabix.exe; double extension ex: « …pdf.exe »
    • Outils: Updatar.1/.2/.3; BackDoor.Shell.244; BackDoor.Meterpreter.259; Program.RemoteAdmin.877 (RemCom); Tool.HandleKatz; Tool.Chisel; Tool.Frp; Trojan.Uploader.36875; BackDoor.Siggen2.5423
  • TTPs (MITRE):
    • Initial Access: Phishing (T1566)
    • Execution: User Execution (T1204); Software Deployment Tools (T1072)
    • Persistence: BITS Jobs (T1197); Boot or Logon Autostart Execution (T1547); Modify Registry (T1112)
    • Defense Evasion: Obfuscated Files or Information (T1027); désactivation/contournement AV (via Set-MpPreference, exclusions, Reg)
    • Collection: Data from Local System (T1005); Screen Capture (T1113)
    • C2: Web Protocols (T1437.001); Encrypted Channel (T1573)

Il s’agit d’une analyse de menace détaillant une attaque ciblée, sa chaîne d’intrusion, l’infrastructure opérée par Scaly Wolf et les IOCs/TTPs associés.

🧠 TTPs et IOCs détectés

TTP

[‘T1566: Phishing’, ‘T1204: User Execution’, ‘T1072: Software Deployment Tools’, ‘T1197: BITS Jobs’, ‘T1547: Boot or Logon Autostart Execution’, ‘T1112: Modify Registry’, ‘T1027: Obfuscated Files or Information’, ‘T1005: Data from Local System’, ‘T1113: Screen Capture’, ‘T1437.001: Web Protocols’, ‘T1573: Encrypted Channel’]

IOC

{‘ip’: [‘77.105.161.30’], ‘domains’: [‘roscosmosmeet.online’, ‘updating-services.com’, ‘adobe-updater.net’, ‘updatingservices.net’], ‘files’: [‘shell.exe’, ‘FileManager.exe’, ‘shellcode.exe’, ‘installer.exe’, ‘zabix.exe’, ‘double extension ex: “.pdf.exe”’], ’tools’: [‘Updatar.1’, ‘Updatar.2’, ‘Updatar.3’, ‘BackDoor.Shell.244’, ‘BackDoor.Meterpreter.259’, ‘Program.RemoteAdmin.877 (RemCom)’, ‘Tool.HandleKatz’, ‘Tool.Chisel’, ‘Tool.Frp’, ‘Trojan.Uploader.36875’, ‘BackDoor.Siggen2.5423’]}

🔗 Source originale : https://news.drweb.com/show/?i=15046&lng=en&c=5