Вредоносная программа PurpleFox заражает тысячи компьютеров в Украине

Команда реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) предупреждает о вредоносной кампании PurpleFox, которая заразила не менее 2 000 компьютеров в стране.

Точное влияние этой широкомасштабной инфекции и то, затронула ли она государственные организации или компьютеры обычных людей, пока не определено, но агентство поделилось подробной информацией о том, как обнаружить заражение и удалить вредоносное ПО.

PurpleFox (или DirtyMoe) – модульная вредоносная программа для ботнетов Windows впервые замеченная в 2018 году, которая оснащена руткит-модулем, позволяющим ей скрываться и сохраняться между перезагрузками устройств.

Интересно: Хакеры используют дефект Windows SmartScreen для создания вредоносного ПО DarkGate

Она может использоваться как загрузчик, который внедряет более опасные зловредные инструменты второго этапа в скомпрометированные системы, предлагает своим операторам возможности бэкдора, а также может действовать как распределенный бот для отказа в обслуживании (DDoS).

В октябре 2021 года исследователи заметили, что новые версии PurpleFox перешли на использование WebSocket для командно-контрольных (C2) коммуникаций для обеспечения скрытности. В январе 2022 года кампания распространяла вредоносное ПО под видом приложения для рабочего стола Telegram

Украинская волна заражения

CERT-UA использовал IoC, предоставленные компаниями Avast и TrendMicro, для выявления заражений вредоносной программой PurpleFox на украинских компьютерах, отслеживая активность под идентификатором „UAC-0027“.

«В процессе детального изучения киберугрозы были проведены исследования полученных образцов вредоносного ПО, определены характеристики операционной инфраструктуры серверов управления, обнаружено более 2000 зараженных компьютеров в украинском сегменте интернета»
- поясняет CERT-UA в предупреждении о безопасности, переведенном на машинный язык

CERT-UA отмечает, что PurpleFox обычно заражает системы, когда жертвы запускают вшитые MSI-инсталляторы, и подчеркивает возможность его самораспространения с помощью эксплойтов для известных недостатков и перебора паролей.

Агентство рекомендует изолировать системы с устаревшими версиями ОС и ПО, используя VLAN или физическую сегментацию сети с фильтрацией входящих/исходящих потоков для предотвращения распространения.

CERT-UA провело мониторинг зараженных узлов в период с 20 по 31 января 2024 года, обнаружив 486 IP-адресов промежуточных серверов управления, большинство из которых расположены в Китае.

CERT-UA отмечает, что удаление PurpleFox затруднено из-за использования руткита, но все же существуют эффективные методы, которые помогут обнаружить и уничтожить вредоносную программу.

Для обнаружения заражения PurpleFox пользователям рекомендуется сделать следующее:

1. Проверить сетевые подключения к «высоким» (10000 ) портам, используя список IP-адресов в приложении отчета.
2. С помощью regedit.exe проверить наличие следующих значений реестра:
3. Windows XP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9]
4. Windows 7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
5. Проанализируйте журнал «Application» в Event Viewer на наличие событий ID 1040 и 1042, источник: «MsiInstaller»
6. Проверьте «C:\Program Files» на наличие папок со случайными именами, например, «C:\Program Files\dvhvA»
7. Проверьте постоянное выполнение вредоносной программы, которая использует сервисы и хранит файлы в определенных каталогах, препятствуя обнаружению/удалению с помощью руткита.
   Ключевые местоположения (где XXXXXXXX – случайная последовательность [A-F0-9]{8}, например, «MsBA4B6B3AApp.dll»):
   1. HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXApp
   2. C:\Windows\System32\MsXXXXXXApp.dll
   3. C:\Windows\AppPatch\DBXXXXXXMK.sdb, RCXXXXXXMS.sdb, TKXXXXXXMS.sdb

Если что-либо из вышеперечисленного указывает на заражение PurpleFox, CERT-UA предлагает либо использовать Avast Free AV для запуска «SMART» сканирования и удаления всех модулей, либо выполнить следующие действия:

1. Загрузитесь с LiveUSB или подключите зараженный диск к другому компьютеру
2. Вручную удалите «MsXXXXXXXXApp.dll» и «.sdb» модули
3. Загрузитесь в нормальном режиме и удалите службу из реестра

Для работы с диском:

• Используйте lsblk и fdisk -lu /dev/sda для определения разделов
• Смонтируйте системный раздел в режиме чтения-записи: mount -orw,offset=$((512*206848)) /dev/sda /mnt/
• Поиск и удаление файлов в разделах /mnt/Windows/AppPatch и /mnt/Windows/System32 (например, ls -lat /mnt/Windows/AppPatch/ и rm -rf /mnt/Windows/AppPatch/RC2EE39E00MS.sdb)
• Размонтируйте с помощью umount /mnt/

После очистки, чтобы избежать повторного заражения от PurpleFox, что очень вероятно, если в той же сети еще есть зараженные машины, включите брандмауэр в Windows и создайте правило для блокировки входящего трафика с портов 135, 137, 139 и 445.