UZCERT

Злоумышленники в ряде случаев распространяли экземпляр вредоноса «TWOTONE» через почтовые сообщения, которые они отсылали в различные правительственные учреждения указанного региона. В других случаях, для загрузки вредоноса использовались ссылки или прикрепленные файлы. В любом случае, для активации вредоноса, пользователям требовалось пройти по ссылке или загрузить прикрепленный зараженный файл. Почтовые сообщения отсылались от имени сотрудников компаний «Wipro» (компания по техническому сервису) и «Suncor» (нефтегазовая компания). В сообщениях содержались ссылки на следующие веб-сайты:

• - hr-wipro[.]com;
  
• - hr-suncor[.]com
  

Эти веб-сайты не контролировались названными компаниями и полностью были созданы злоумышленниками. Также известно, что злоумышленник мог использовать веб-сайт «files-sender[.]com», где, предположительно, хранился вредонос.
Сам вредонос содержался в Microsoft-документах форматов «Word» и «Excel» (использовались оба формата). Также, в целях дополнительной защиты вредоноса, злоумышленники использовали защищенные паролем ZIP-архивы.
Сразу после открытия этих файлов, вредонос использовал макросы для компрометации системы. Это позволяло злоумышленнику использовать другие средства для скрытого перемещения внутри скомпрометированной системы и получать доступ к данным пользователя. Свою деятельность хакер скрывал за IP-адресами, принадлежащими компании «Delta Host» и зарегистрированными на Украине и Нидерландах.


Вредонос имел два основных способа коммуникаций с управляющим (CnC) сервером: (1) DNS-запросы и (2) http(s) GET/POST-запросы. Первый использовался для поиска и установления связи с CnC-сервером, затем, для загрузки дополнительного вредоносного контента, осуществлялось переключение на GET/POST-запросы.
Исполняемый файл внутри вредоноса выполнялся периодичностью в одну минуту, благодаря прописанному в зараженном файле (который изначально загружался самим пользователем) планировщике (task scheduler). Каждый раз при его запуске, он создавал следующие директории:

• - .\Apps;
  
• - .\Uploads;
  
• - .\Downloads
  

Директории «Uploads» и «Downloads» действовали с соответствии со своими названиями. Все исполняемые файлы, хранящиеся в папке «Apps», исполнялись каждый раз при запуске вредоноса.

Домены, используемые для загрузки вредоносного контента:

• - hr-wipro[.]com;
• - hr-suncor[.]com;
• - files-sender[.]com

Управляющий сервер:
- 0ffice36o[.]com
Директории и файлы вредоноса «TWOTONE»:

• - %UserProfile%\.oracleServices;
• - %UserProfile%\.oracleServices\Apps;
• - %UserProfile%\.oracleServices\Configure.txt;
• - %UserProfile%\.oracleServices\Downloads;
• - %UserProfile%\.oracleServices\log.txt;
• - %UserProfile%\.oracleServices\svshost_serv.exe;
• - %UserProfile%\.oracleServices\Uploads

Планировщик задач:

• Имя «chrome updater»;
• Описание «chromium updater v 37.5.0»;
• Исполняемый файл «%UserProfile%\.oracleServices\svshost_serv.exe»

Потенциально опасный диапазон IP-адресов (Delta Host):

• 87.247.152.0 - 87.247.153.255;
• 87.247.154.0 - 87.247.155.255;
• 176.107.176.0 - 176.107.183.255;
• 176.107.184.0 - 176.107.191.255;
• 185.20.184.0 - 185.20.185.255;
• 185.20.186.0 - 185.20.187.255;
• 185.157.76.0 - 185.157.77.255;
• 185.157.78.0 - 185.157.79.255;
• 185.161.208.0 - 185.161.209.255;
• 185.161.210.0 - 185.161.211.255;
• 185.167.160.0 - 185.167.161.255;
• 185.167.162.0 - 185.167.163.255;
• 185.236.76.0 - 185.236.77.255
• 185.236.78.0 - 185.236.79.255;
• 185.247.208.0 - 185.247.209.255;
• 185.247.210.0 - 185.247.211.255;
• 193.22.96.0 - 193.22.97.255;
• 193.22.98.0 - 193.22.99.255;
• 193.42.104.0 - 193.42.104.255;
• 193.42.106.0 - 193.42.107.255;
• 193.169.244.0 - 193.169.245.255;
• 193.228.52.0 - 193.228.53.255;
• 193.228.54.0 - 193.228.55.255;
• 194.9.176.0 - 194.9.177.255;
• 194.9.178.0 - 194.9.179.255;
• 212.90.108.0 - 212.90.109.255;
• 212.90.110.0 - 212.90.111.255

Вредоносный ZIP-архив:

• - 5173c207517ed06aabc63a9f1eb752bb;
• Вредоносные документы Microsoft Office:
• - 48320f502811645fa1f2f614bd8a385a;
• - 807482efce3397ece64a1ded3d436139;
• Бэкдор:
• - c00c9f6ebf2979292d524acff19dd306