SOC Prime Bias: Високий

12 Dec 2025 14:56 UTC

CyberVolk знову заявляє про себе: нові функції та вразливості VolkLocker

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
CyberVolk знову заявляє про себе: нові функції та вразливості VolkLocker
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

У статті висвітлюється відродження про-російського хактивістського колективу CyberVolk та його нової сім’ї програм-вимагачів під назвою VolkLocker. Цей заснований на Golang зловмисник націлений на системи Windows і Linux і використовує Telegram для командування та контролю. Він використовує жорстко закодований майстер-ключ AES-256-GCM, який також записується у відкритому вигляді в директорію %TEMP%, що фактично створює незаплановану можливість дешифрування. VolkLocker також втручається в налаштування реєстру, вимикає засоби безпеки та здійснює спроби руйнівних дій проти системи, як тільки вбудований таймер закінчується.

Розслідування

Дослідники вивчили зразок VolkLocker і зазначили, що він розповсюджується без обфускації коду, натомість рекомендують використовувати UPX для упаковки. Програма-вимагач проводить перевірки середовища, перераховує доступні диски, шифрує дані із використанням статичного майстер-ключа, і зберігає цей ключ у прихованому файлі резервної копії. Збереження здійснюється шляхом копіювання виконуваного файлу у кілька шляхів і внесення змін до реєстру. Токени бота Telegram та адреса Bitcoin є обов’язковими елементами конфігурації для успішної роботи.

Пом’якшення

Захисники повинні спостерігати за зафіксованими змінами реєстру, створенням файлу резервної копії ключа у відкритому вигляді та з’явленням кількох копій одного і того ж виконуваного файлу в місцях автозавантаження. Блокування вихідного трафіку до доменів, пов’язаних з Telegram, та маркування бінарників, упакованих UPX, можуть допомогти знизити ризик. Рекомендується підтримання регулярних офлайн або незмінюваних резервних копій та запобігання автоматичного видалення тіньових копій об’єму.

Відповідь

Після виявлення негайно ізолюйте скомпрометовану кінцеву точку, отримайте файл резервної копії ключа у відкритому вигляді з %TEMP%, і використовуйте відомий майстер-ключ для дешифрування файлів. Відновіть всі екземпляри виконуваного файлу VolkLocker, відновіть змінені значення реєстру та перезапустіть будь-які вимкнені рішення безпеки. Проведіть судову рецензію Telegram-трафіку C2 і продовжуйте моніторинг для подальшого зловживання розкритим токеном бота.

Потік атак

Виконання симуляції

Передумова: Повинна бути пройдена перевірка телеметрії та базового стану.

Причина: У цьому розділі детально описується точне виконання техніки противника (TTP), призначеної для ініціювання правила виявлення. Команди та наратив МУСЯТЬ безпосередньо відображати ідентифіковані TTP та спрямовуватися на генерування точної телеметрії, очікуваної логікою виявлення. Абстрактні або непов’язані приклади приведуть до неправильного діагностування.

  • Опис атаки та команди:

    1. Мета: Отримати привілеї SYSTEM на робочій станції звичайного користувача, уникнувши засобів безпеки.
    2. Крок 1 – Обхід UAC: Зловмисник запускає ms-settings.exe з командним рядком, який змушує процес викликати NtRaiseHardError, відомий недокументований API, який може викликати підвищення прав UAC, що може бути автоматично прийнято в певних неправильно налаштованих випадках.
    3. Крок 2 – Руйнування захисту: Відразу після підвищення, той самий командний рядок викликає taskkill.exe для завершення відомих інструментів аналізу (procmon.exeprocesshacker.exe, і т.д.), які можуть спостерігати за привілейованими процесами.
    4. Отримана телеметрія: Єдина подія створення процесу, де Image = ms-settings.exe та CommandLine містить як taskkill.exe та NtRaiseHardError, відповідно до вибору.
    # Комбінована шкідлива команда – налаштована, щоб виглядати як параметри ms-settings.exe
    $maliciousCmd = '"C:WindowsSystem32ms-settings.exe" "taskkill.exe /F /IM procmon.exe" "NtRaiseHardError"'
    Start-Process -FilePath "$env:SystemRootsystem32ms-settings.exe" -ArgumentList $maliciousCmd
  • Скрипт для регресійного тестування: Наступний скрипт PowerShell відтворює точну атаку і може бути повторно використаний для автоматизованого регресійного тестування.

    <#
    .SYNOPSIS
        Імітує обхід UAC за допомогою ms-settings CyberVolk + техніку завершення інструменту аналізу.
    .DESCRIPTION
        Запускає ms-settings.exe з налаштованим списком аргументів, який включає taskkill.exe та NtRaiseHardError.
        Генерує специфічну телеметрію створення процесу, необхідну для запуску правила виявлення Sigma.
    .NOTES
        Запустіть з аккаунту звичайного користувача. Забезпечте, щоб у цільовому середовищі було увімкнено логування створення процесів.
    #>
    
    # Параметри (при необхідності налаштуйте)
    $msSettings = "$env:SystemRootsystem32ms-settings.exe"
    $analysisTools = @("procmon.exe","processhacker.exe","ida64.exe")
    $killCmd = "taskkill.exe /F /IM " + ($analysisTools -join " /IM ")
    $hardError = "NtRaiseHardError"
    
    # Побудуйте шкідливий рядок аргументів
    $argList = @($killCmd, $hardError) -join " "
    
    Write-Host "Запуск ms-settings.exe з шкідливими аргументами..."
    Start-Process -FilePath $msSettings -ArgumentList $argList
    
    Write-Host "Виконана команда:"
    Write-Host "`"$msSettings`" $argList"
  • Команди очищення: Після перевірки зупиніть будь-які процеси ms-settings.exe та відновіть нормальний стан системи.

    # Зупиніть будь-які процеси ms-settings, які ще можуть працювати
    Get-Process -Name "ms-settings" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Необов’язково: Переконайтесь, що жодні інструменти аналізу не були випадково зупинені
    foreach ($tool in @("procmon","processhacker","ida64")) {
        if (Get-Process -Name $tool -ErrorAction SilentlyContinue) {
            Write-Host "$tool ще запущено."
        } else {
            Write-Host "$tool було зупинено (очікувано для тесту)."
        }
    }