BLOG
Analysis

Analiza szeroko zakrojonej kampanii z rodziny Pure

Analiza szeroko zakrojonej kampanii z wykorzystaniem fałszywych zapytań ofertowych wykorzystująca skompromitowaną infrastrukturę znajdującą się w Wybrzeżu Kości Słoniowej oraz malware z rodziny Pure

null Kuba Nicpoń
2025-07-15
null

Zespół SOC360 monitoruje sieci, punkty końcowe oraz środowiska chmurowe największych organizacji w Polsce, z wykorzystaniem technologii EDR/XDR/NDR od wiodących producentów (SentinelOne, PaloAlto, Crowdstrike, MDE, Fidelis, Cybereason). W trakcie analizy Zespół SOC360 natrafia na różnego rodzaju oprogramowanie, często niejednoznacznie klasyfikowane przez systemy bezpieczeństwa, które wymaga szczegółowej weryfikacji kontekstu. Pozwala to na podjęcie adekwatnych reakcji i sformułowanie odpowiednich zaleceń.

Wstęp

W czerwcu 2025 roku zespół SOC360 obserwował dystrybuowaną u wielu klientów, szeroko zakrojoną kampanię podszywającą się pod zapytania ofertowe. Ilość unikalnych plików, dedykowane nazewnictwo w językach ofiar oraz budowa infrastruktury wskazują na dość dużą skalę operacji. Dalsza analiza wsteczna kodu i infrastruktury sieciowej wykazała dystrybucję złośliwego oprogramowania poprzez serwer plików znajdujący się na skompromitowanej stronie internetowej organizacji z Wybrzeża Kości Słoniowej, co jest wygodną i skuteczną metodą wykorzystywaną przez złośliwych aktorów. Analiza pozwoliła na szczegółową identyfikację zakresu funkcjonalności dostarczonego oprogramowania a także na przeprowadzenie działań threat hunting, co umożliwiło identyfikację zagrożenia u innych klientów. Wieloetapowość oprogramowania oraz wykorzystanie skompromitowanej infrastruktury o dobrej reputacji pozwoliło na oszukanie niektórych systemów bezpieczeństwa.

Analiza

Pierwsze zgłoszenia

Pierwsze wykrycie podejrzanej aktywności nastąpiło niemalże równocześnie dwoma kanałami:

  • Detekcją w jednym z komercyjnych systemów klasy EDR za pomocą behawioralnego silnika analizującego aktywność oprogramowania
  • Zgłoszeniem przez czujnego pracownika jednej z organizacji, który skutecznie zauważył próbę phishingu

null
1. Drzewo procesów podejrzanej aktywności wykrytej przez jeden z systemów bezpieczeństwa klasy EDR.

Analiza pierwszego stage'a

Plik o nazwach Zapytanie_Ofertowej_ były w rzeczywistości silnie zobfuskowanymi skryptami bash. Nie próbował on nawet udawać faktycznej oferty tzn. po uruchomieniu nie otwierał wabika w postaci generycznego pliku .docx, .pdf lub innego, co jest częstą praktyką w podobnych sytuacjach.

null
2. Struktura pliku .bat (pierwszy stage).

Skrypt zawierał standardowe techniki obfuskacyjne mające na celu zmylić zarówno systemy bezpieczeństwa jak i analityków. Obejmowały one m.in.:

  • Wymuszanie UTF-8, aby umożliwić używanie dziwnych nazw zmiennych (@chcp 65001 >nul)
  • Nazwy zmiennych niebędące znakami ASCII / pochodzące z różnych alfabetów m.in. armeńskiego (set "ԲՆуԶՓПԼՉԸ="C:\Wi")
  • Dzielenie zmiennych na mniejsze fragmenty łączone w późniejszych etapach (set "Զрնթп= | xco", set "ЦըսтՒ=py /d ", set "ԳпԺՌՒՀձ=/q /y " wykonywane jako %ЧՅշՇՇՏնԽդ%%Զрնթп%%ЦըսтՒ%%ԳпԺՌՒՀձ%%ՃժՔԵՅ%%ԲΝуԶՓПԼՉԸ%...)
  • Fragmentacja ścieżek i poleceń
  • Wykorzystanie procesów tzw. LOLBin (echo F | xcopy ...)
  • Niewykorzystywane fragmenty kodu oraz nadmierna ilość nic nieznaczących komentarzy (:: Sglpdnzfl Dfnmxwdad Hztijdrufz:: Fdyaitteak Azemtm Epbtzle)

Po przekształceniu znaków w alfabecie armeńskim oraz grażdance zauważyć można utworzenie kopii procesu PowerShell z rozszerzeniem .Ntx w folderze, w którym znajduje się skrypt. Zdublowany proces jest następnie ukryty poprzez dodanie odpowiedniego atrybutu.

Fragment kodu: 

%ЧՅշՇՇՏնԽդ%%Զрнթп%%ЦըսтՒ%%ԳпԺՌՒՀձ%%ՃժՔԵՅ%%ԲՆуԶՓПԼՉԸ%%РՌԹрն%%ԵՎуԶճՈծ%%ЦԸтՐПрՑՃо%%ԴխԺчՑ%%ИծսԶՔէ%%ЧՆՒզէԷ%%ИԾԹԵըрв%%ПиթԻԵԳп%%ԼհцПвԷ%%ԺՐՌпԸиՌՌՋ%

skutkował wywołaniem 

echo F | xcopy /d /q /y /h /i "C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" "%~0.Ntx"

Po utworzeniu klonu procesu PowerShell do zmiennych środowiskowych dodawana jest ścieżka skryptu bash, który został uruchomiony.

set "ПпջՏуջբтհ=SET Pb"
set "ՉՔշծՇԿոդ=lropil"
set "ՂрՀмժрՎՉՁ==%~f0"
%ПпջՏуջբтհ%%ՉՔշծՇԿոդ%%ՂрՀмժрՎՉՁ%

Następnie w nowo utworzonej, ukrytej dla widoku użytkownika instancji PowerShell (sklonowany plik .Ntx) ładowany jest bardzo długi ciąg znaków w formie Base64. Jest to typowy łańcuch składający się z: 1. Odkodowania zawartości z Base64 2. Dekompresja zawartości 3. Załadowanie wartości do obiektu MemoryStream

Odkodowywany jest on do następującej zawartości:

ՍԹճмՃв=FromBa → FromBa
ԵԼՄՑսԼկм=se64St → se64St
ՐՈԿпрԶ=tream( → tream(
ՔՃԾյԼՋ= [Conv → [Conv
ՓՋМՅПձՏ=t IO.M → t IO.M
ПԿԼէԿ= IO.Me → IO.Me
ИвժՋձуՊըՈ=emoryS → emoryS
ԵрէՔԶу=mpress → mpress
ՈեՂԸՔՒՓէժ=ompres → ompres
ЦՉյпՌՔէр=m.Refl → .Refl
AppDom + ain]:: + Curren

Następnie ciąg bitów ładowany jest do klasy AppDomain, co pozwala na uruchomienie payload’u napisanego w .Net. Jest to klasyczne wywołanie złośliwego kodu w pamięci procesu bez dodatkowego pobierania plików oraz zapisu na dysku.

Analiza pliku .Net

Skompromitowany serwer plików

Analiza pliku wykazała, że jedno z pierwszych działań wykonywanych przez złośliwy plik jest pobieranie i ładowanie dalszej zawartości ze strony hxxps://.com/spacingFiles/configx/Udbgd[.]pdf.

null
3. Pobieranie dodatkowej zawartości w skrypcie .Net.

Jest to nieaktualizowana od 2016 roku domena firmy z Wybrzeża Kości Słoniowej zajmująca się produkcją oleju palmowego. Strona została prawdopodobnie skompromitowana przez atakujących poprzez podatną wtyczkę PowerShell co pozwoliło na udostępnienie szeregu złośliwych dokumentów wykorzystywanych w trakcie ataku.

null
4. Skompromitowana domena wykorzystana w ataku.

Wykorzystywanie skompromitowanej infrastruktury jest dla atakujących bardzo wygodną metodą ułatwiającą omijanie systemów bezpieczeństwa i utrudniająca analizę dla specjalistów. Jest to spowodowane m.in. tym, że:

  • silniki detekcji przez długi czas nie wykrywają domeny jako złośliwej
  • jej historia m.in. okres rejestracji i jednostka rejestrująca wzbudzają zaufanie (także w systemach)
  • zaufane certyfikaty SSL nie wzbudzają podejrzeń
  • ruch sieciowy wygląda na standardowy (oczekiwany)
  • nie jest możliwe dodanie takich jednostek na blacklistę zawczasu

null
5. Reputacja domeny ze skompromitowaną infrastrukturą.

Dalsza analiza infrastruktury wykazała, że na serwerze plików na skompromitowanej stronie znajduje się duża ilość unikalnych drugich etapów ataków, które są pobierany przez loader’a. Pliki podszywają się pod dokumenty .pdf, nagrania muzyczne .mp3, .mp4 i .wav oraz pliki format używany przez Valve do przechowywania danych związanych z grami - .vdf.

null
6. Serwer plików z wystawionymi złośliwymi plikami.

Mimo, że rozmiar i struktura plików wskazują, że ich zastosowanie jest takie samo to unikalne nazwy oraz automatyczna obfuskacja kodu automatyzująca generowanie zawartości standardowo utrudniają stosowanie reputacyjnych mechanizmów detekcji (unikalne sumy kontrolne plików). Większość z plików obecnych na serwerze jest nierozpoznawalna przez komercyjne silniki reputacyjne lub klasyfikowana jako bezpieczne. Pliki obecne na serwerze (drugi a w zasadzie trzeci stage) nie są rozpoznawalne przez źródła CTI nawet wiele tygodni po okresie aktywnego wykorzystania infrastruktury. Pobrany plik jest znacznie większy i wskazuje na docelowy payload wraz z parametrami potrzebnymi do jego odkodowania.

null
7. Fragmenty jednej z wielu funkcji docelowego oprogramowania.

Dalsza analiza fragmentów oprogramowania oraz powiązania infrastruktury w źródłach CTI pozwoliły na klasyfikację złośliwego oprogramowania jako rodzinę malware’u o nazwie Pure.

Powiązania z innymi plikami i analizami

Analiza powiązań domeny (serwera ze złośliwymi plikami) oraz samych złośliwych plików wskazała na kampanię skierowaną w co najmniej kilka krajów Unii Europejskiej. Nazwy plików odnosiły się do zapytań ofertowych, faktur czy list produktów i cen. Przykładowe pliki, który korzystały z infrastruktury ze skompromitowanej organizacji z WKS:

  • Angebotsanfrage_MBM_Metallbau_04-06-2025.tgz
  • SMG_Zapytanie_Oferta_20250605_65000324.cmd
  • Poptavka_Produkty_Ceny_EurotechService_202507.tgz
  • RFQ_Welding_Equipment_Parts_Metalex_20250527.tgz

Ciągi znaków często były też uszczegóławiane poprzez dodanie na początku lub końcu nazwy konkretnej organizacji (prawdopodobnie automatycznie z domeny adresata) aby jeszcze skuteczniej zachęcić do uruchomienia pliku. Analiza infrastruktury wskazuje na ciągłe wykorzystywanie przynajmniej części domen, plików i adresów IP od czerwca 2025 roku aż do listopada 2025 roku. Dodatkowo, część powiązanych plików wykonywała połączenia sieciowe na adresy pochodzące z ASN AEZA, czyli znanego bulletproof hostingu wykorzystywanego przez rosyjskie grupy cyberprzestępcze .

Rodzina Pure

Analiza wykrytego oprogramowania oraz badanie relacji pomiędzy plikami, których metadane rozpoznawalne są przez komercyjne silniki reputacyjne jasno wskazują na kampanię z wykorzystaniem rodziny Pure. Jest to szereg oprogramowania dostępnego do kupienia w Dakrnet w formie Malware-as-a-service (MaaS) pozwalającego na prowadzenie kampanii dystrybucji złośliwego oprogramowania. Rodzina obejmuje wiele niezależnych narzędzi m.in:

  • Crypter – narzędzie do uruchamiania złośliwego kodu w zobfuskowanej aplikacji mającej na celu ominięcie systemów bezpieczeństwa i znaczne utrudnienie analizy. W tym przypadku jest to crypter aplikacji napisanych w środowisku .Net.
  • RAT – narzędzie zdalnego dostępu i zarządzania zainfekowanym hostem
  • Logs – narzędzie wykradające informację i logi.
  • Loader – narzędzie (najczęściej pierwszy etap ataku) mające na celu ciche dociągnięcie z Internetu dodatkowych plików zawierających faktyczne złośliwe oprogramowanie a następnie ich deszyfracja/dekodowanie/wypakowywanie/uruchomienie.
  • Clipper – narzędzie wykradające (przelewające na wybrane konto) środki z portfeli kryptowalutowych.

null
8. Opis podstawowych modułów rodziny Pure pochodzący z jednego z forów w darknet.

Nie są to narzędzia ani najnowsze, ani najwyższej klasy, lecz do prowadzenia masowych kampanii wystarczająco zaawansowane i komplementarne w zakresie oferowanej funkcjonalności.

Podsumowanie

Analiza plików zarejestrowanych u klientów pozwoliła na zidentyfikowanie szeroko zakrojonej kampanii phishingowej wykorzystującej rodzinę malware’u Pure skierowanej w prywatne organizacje znajdujące się na terenie Unii Europejskiej. Atakujący oprócz zastosowania różnych komponentów Pure (Crypter’a, Loader’a czy Stealer’a) stosowali inne mechanizmy takie jak wykorzystywanie skompromitowanych stron internetowych faktycznych organizacji, aby zmaksymalizować szansę na powodzenie ataku. Analiza infrastruktury wykazał znaczą skalę przedsięwzięcia oraz jej długi czas trwania – nawet kilka miesięcy. Zidentyfikowano również typowe ogniwa w łańcuchu ekosystemu cyberprzestępczego takie jak wykorzystanie infrastruktury hostingu AEZA. Zastosowane mechanizmy, mimo że nie były najnowocześniejsze były wystarczające do ominięcia niektórych mechanizmów bezpieczeństwa a także utrudnienia prowadzenia analizy specjalistom cyberbezpieczeństwa. Skalę kampanii można również określić poprzez ilość zgłoszeń pojawiających się u różnych klientów SOC360 – z wielu krajów i sektorów. Wykorzystanie bulletproof hosting’ów, narzędzi MaaS pochodzących z Darknetu, skompromitowanej infrastruktury do dystrybucji złośliwego oprogramowania oraz loader’ów, crypter’ów i stealer’ów, mimo bycia pewnym standardem wśród współczesnych cyberprzestępców, przy odrobinie custom’izacji pozostaje skuteczną metodą infiltracji organizacji.

Autor

null
Kuba Nicpoń , CTI Team Leader , SOC360