ProIT: медіа для профі в IT
4 хв.

Шкідлива програма PurpleFox заражає тисячі комп’ютерів в Україні

author avatar ProIT NEWS

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA попереджає про кампанію зловмисного програмного забезпечення PurpleFox, яке заразило щонайменше 2000 комп’ютерів у країні.

Точний вплив цієї широко поширеної інфекції й те, чи вона вплинула на державні організації або комп’ютери звичайних людей, не визначено, але команда CERT-UA поділилася детальною інформацією щодо того, як знайти зараження та видалити зловмисне програмне забезпечення.

DIRTYMOE – модульна шкідлива програма, відома більш ніж 5 років. Вона створює технічні можливості для віддаленого доступу до комп’ютера і здебільшого використовується для проведення DDoS-атак та майнінгу (але не виключно).

Зазвичай первинне ураження здійснюється в результаті запуску популярного програмного забезпечення, яке містить MSI-інсталятор. Бекдор оснащено руткітом, що не дозволяє видалити компоненти з файлової системи та реєстру операційної системи в штатному режимі.

DIRTYMOE має функціонал для саморозповсюдження шляхом підбору автентифікаційних даних та/або експлуатації низки вразливостей як щодо комп’ютерів, які знаходяться в локальній обчислювальній мережі, так і ЕОМ за переліком IP-адрес, що формується за окремим алгоритмом залежно від зовнішньої IP-адреси об’єкта ураження.

З метою забезпечення відмовостійкості для комунікації з управляючою інфраструктурою використовується щонайменше три способи, один із яких полягає в отриманні значень A-записів для статично визначених доменних імен з використанням як локального, так і зовнішніх DNS-серверів: 8.8.8.8, 1.1.1.1, 114.114.114.114, 119.29.29.29.

При цьому IP-адреси, які зберігаються в реєстрі операційної системи, а також ті, що отримуються в результаті DNS-запитів, обфусковані.

За період моніторингу (20-31 січня 2024 року) було виявлено 486 IP-адрес проміжних управляючих серверів, переважна більшість яких належить скомпрометованому обладнанню, що знаходиться в Китаї. Протягом доби додається приблизно 20 нових IP-адрес.

Команда CERT-UA використовувала IoC, якими користуються Avast і TrendMicro, щоб ідентифікувати зараження шкідливим програмним забезпеченням PurpleFox на українських комп’ютерах, відстежуючи активність за ідентифікатором «UAC-0027».

«У межах детального вивчення кіберзагрози було проведено дослідження отриманих зразків шкідливих програм, встановлено особливості функціонування інфраструктури управляючих серверів та виявлено понад 2000 уражених ЕОМ в українському сегменті мережі Інтернет», – йдеться у повідомленні.

Агентство рекомендує ізолювати системи, які працюють із застарілими версіями ОС і програмним забезпеченням, використовуючи VLAN або фізичну сегментацію мережі з фільтрацією вхідних/вихідних повідомлень, щоб запобігти поширенню.

Щоб виявити зараження PurpleFox, користувачам рекомендується зробити наступне:

1. Дослідити мережеві з’єднання за переліком IP-адрес, наведених у застосунку. Зазвичай вихідні підключення здійснюються на «високі» (10000+) мережеві порти.

2. За допомогою штатної утиліти regedit.exe перевірити значення в реєстрі операційної системи за ключами:

для WindowsXP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9] - для Windows7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D

3. З використанням штатної утиліти Event Viewer у журналі Application (джерело: MsiInstaller) дослідити записи з ідентифікаторами подій 1040 і 1042.

4. Візуально оглянути каталог C:\Program Files на предмет наявності папок із довільно згенерованою назвою. Наприклад, C:\Program Files\dvhvA.

5. Постійність запуску шкідливої програми забезпечується шляхом створення сервісу. Своєю чергою файли бекдору та модулів зберігаються у типових каталогах (перелік нижче). Водночас застосування руткіту перешкоджає виявленню та/або видаленню шкідливої програми безпосередньо з ураженої ЕОМ.

HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXApp C:\Windows\System32\MsXXXXXXXXApp.dll C:\Windows\AppPatch\DBXXXXXXXXMK.sdb C:\Windows\AppPatch\RCXXXXXXXXMS.sdb C:\Windows\AppPatch\TKXXXXXXXXMS.sdb

* XXXXXXXX – довільно згенерована послідовність у діапазоні [A-F0-9]{8} (приклад: MsBA4B6B3AApp.dll)

Для видалення шкідливої програми можливо скористатися щонайменше двома способами:

1. Завантажити з офіційного вебсайту виробника (https://www.avast.ua/) програмний продукт Avast Free Antivirus, встановити його на ЕОМ та в режимі SMART ініціювати сканування. Цей процес також потребуватиме подальшого перезавантаження ЕОМ і продовження сканування, під час якого буде виявлено та видалено модулі.

2. Завантажити уражену ЕОМ з LiveUSB (або підключити жорсткий диск ураженої ЕОМ до іншої ЕОМ) та в ручному режимі здійснити видалення файлу MsXXXXXXXXApp.dll і модулів (.sdb). Після цього, завантаживши ЕОМ у штатному режимі, видалити службу з реєстру. Приклад монтування жорсткого диску ураженої ЕОМ і проведення відповідних маніпуляцій наведено нижче.


(sda – підключений диск ураженої ЕОМ; sda2 – системний розділ диску ураженої ЕОМ)

# lsblk NAME  MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT ... sda   8:0  0  465.8G 0 disk ├─sda1  8:1  0  100M   0 part ├─sda2  8:2  0  172.7G 0 part └─sda3  8:3  0  293G   0 part ...

(визначення розділів на диску за допомогою fdisk; /dev/sda2 – системний розділ диску ураженої ЕОМ; зміщення 206848 сектори)

# fdisk -lu /dev/sda ... Device   Boot   Start     End       Sectors    Size   Id  Type /dev/sda1 *     2048      206847    204800     100M   7   HPFS/NTFS/exFAT /dev/sda2       206848    362371071 362164224  172.7G 7   HPFS/NTFS/exFAT /dev/sda3       362371072 976771071 614400000  293G   7   HPFS/NTFS/exFAT

(монтування в режимі read-write системного розділу диску з урахуванням зміщення)

# mount -orw,offset=$((512*206848)) /dev/sda /mnt/

(перевірка вмісту каталогу C:\Windows\AppPatch для пошуку модулів)

# ls -lat /mnt/Windows/AppPatch/

(перевірка вмісту каталогу C:\Windows\System32 для пошуку файлу бекдору)

# ls -lat --time=ctime /mnt/Windows/System32/Ms*

(видалення модулів та файлу бекдору)

# rm -rf /mnt/Windows/AppPatch/RC2EE39E00MS.sdb # rm -rf /mnt/Windows/AppPatch/DB2EE39E00MK.sdb # rm -rf /mnt/Windows/AppPatch/TK2EE39E00MS.sdb # rm -rf /mnt/Windows/System32/Ms2EE39E00App.dll

(розмонтування системного розділу)

# umount /mnt/

Важливо. У будь-якому з випадків з метою уникнення повторного інфікування через механізм саморозповсюдження бекдору перш ніж виконати будь-які з перелічених дій необхідно увімкнути штатний мережевий екран операційної системи («Брендмауер») і створити правило для блокування вхідних інформаційних потоків на мережеві порти 135, 137, 139, 445.

Нагадаємо, що минулого тижня українські державні компанії Нафтогаз, Укрпошта й Укртрансбезпека повідомили про збої у роботі своїх ІТ-систем.

Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.