Пламенный привет от Александра Бадаева из отдела исследования киберугроз PT Expert Security Center и Яны Авезовой, аналитика исследовательской группы. Оба мы работаем в Positive Technologies, и, как вы могли подумать, пути наши в компании не так уж часто пересекаются. Ну сами посудите: с одной стороны — хакерские группировки, распутывание цепочек атак, а с другой – анализ киберугроз, статистика, сухие цифры и красивые графики. Так, да не так. И вот когда один из нас собрал информацию о 16 хакерских группировках, атакующих Ближний Восток, другой (а точнее — другая) проанализировал их тактики и техники, результатом этого тандема стало большое исследование. Ну а в этой статье мы расскажем о том, как действуют APT-группировки, с чего начинают атаку и как развивают ее, двигаясь к намеченной цели.
Шаг 1. Подготовка к атаке
Комплексные целенаправленные атаки начинаются с разведки. Нападающие могут проводить широкомасштабные сетевые сканирования ( Active Scanning ) в поисках подходящих целей. В результате у злоумышленников появляется информация, которой достаточно для начального этапа проникновения. К такой информации относится, например, список публичных систем, подверженных известным уязвимостям ( T1595.002 ). Кроме того, злоумышленники могут собирать списки поддоменов и открытых веб-каталогов, чтобы в дальнейшем использовать их для размещения веб-шеллов ( T1595.003 ). Например, группа Volatile Cedar использовала в этих целях утилиты DirBuster и Gobuster.
Группировка APT35, атаковавшая на Ближнем Востоке преимущественно Саудовскую Аравию и Израиль, собирала информацию о сотрудниках целевых организаций ( Gather Victim Identity Information ), в том числе номера мобильных телефонов. Они могли использоваться для отправки сообщений со ссылками на мобильные вредоносные программы для шпионажа и кражи данных. Группа отслеживала IP-адреса ( T1590.005 ) и местоположение ( T1591.001 ) посетителей своих фишинговых сайтов. Кроме того, злоумышленники идентифицировали ценные адреса электронной почты ( T1589.002 ), чтобы использовать их в своих атаках как отправную точку. Группировка Hexane предварительно устанавливала личности руководителей, сотрудников кадровых отделов и отделов информационных технологий целевых организаций ( T1591.004 ).
За разведкой следует этап подготовки инструментальной базы для проведения атак. Злоумышленники могут регистрировать поддельные домены ( T1583.001 ) и создавать учетные записи электронной почты ( T1585.002 ) или аккаунты в социальных сетях ( T1585.001 ) для проведения целенаправленного фишинга. Так, группировка APT35 регистрировала аккаунты в LinkedIn и других соцсетях, чтобы связываться с жертвами и через сообщения и голосовую связь убеждать их открыть вредоносные ссылки.
Шаг 2. Получение первоначального доступа
Чтобы попасть во внутреннюю сеть, киберпреступникам нужна точка проникновения — рабочий компьютер сотрудника или сервер, который они заразят вредоносным ПО и с которого начнут дальнейшее перемещение по сети организации. Большинство APT-группировок начинают атаки на корпоративные системы с целенаправленного фишинга ( Phishing ). Чаще всего речь идет о рассылках писем с вредоносным содержимым ( T1566.001 , T1566.002 ). Например, группа Desert Falcon была замечена за распространением своего вредоносного ПО через фишинг с порно.
Помимо электронной почты, некоторые злоумышленники (APT35, Bahamut, Dark Caracal, OilRig) использовали для фишинговых атак социальные сети и мессенджеры ( T1566.003 ).
Группировки APT35, Bahamut и Dark Caracal заражали жертв вредоносным ПО методом watering hole. При таких атаках злоумышленники компрометируют веб-ресурсы, которые посещают будущие жертвы, после чего с этих ресурсов на их компьютеры незаметно загружаются вредоносные программы ( Drive-by Compromise ).
Некоторые злоумышленники получали доступ к внутренней инфраструктуре из-за уязвимостей в ресурсах, доступных из интернета ( Exploit Public-Facing Application ). Например, группировки APT35 и Moses Staff для первоначального доступа и получения контроля над жертвами задействовали связку уязвимостей ProxyShell ( CVE-2021-34473 , CVE-2021-34523 , CVE-2021-31207 ) на серверах Microsoft Exchange. Группы APT35 и MuddyWater эксплуатировали критически опасную уязвимость Log4Shell в библиотеке Apache Log4j ( CVE-2021-44228 , CVE-2021-45046 , CVE-2021-44832 ).
Шаг 3. Закрепление
После получения первоначального доступа атакующие стремятся закрепиться в инфраструктуре. Они предпринимают меры, чтобы иметь возможность вернуться в компанию жертвы. Для закрепления в системе большинство APT-группировок на Ближнем Востоке используют планировщик заданий ( Scheduled Task/Job ). В кампании против правительства ОАЭ, описанной специалистами Fortinet в мае 2023 года, группа OilRig создавала запланированную задачу MicrosoftEdgeUpdateService, которая срабатывала каждые пять минут и запускала вредоносное ПО.
Многие злоумышленники настраивают автозагрузку вредоносных программ ( Boot or Logon Autostart Execution ). Например, группа Bahamut создавала LNK-файлы в каталоге Startup, а троянское ПО Bandook группы Dark Caracal добавляло ключ в раздел HKEY_USERSSoftwareMicrosoftWindowsCurrentVersionRun.
Некоторые APT-группировки для закрепления в системе настраивают срабатывание вредоносного кода при наступлении определенного события ( Event Triggered Execution ). Например, группы APT33, Mustang Panda и Stealth Falcon закреплялись в инфраструктуре жертв, создавая подписку на события WMI ( T1546.003 ).
Если корпоративные серверные приложения позволяют администраторам устанавливать ПО, злоумышленники могут воспользоваться этим для установки бэкдоров ( Server Software Component ). Группировки внедряют веб-шеллы на взломанные узлы ( T1505.003 ) для поддержки доступа к сетям жертв. Веб-шеллы могут использоваться не только для закрепления, но и для сбора информации. Например, веб-шелл ExchangeLeech группы OilRig отслеживает трафик и собирает учетные данные пользователей, применяющих небезопасные методы аутентификации. Оператор может запросить список собранных логинов и паролей, отправив соответствующую команду веб-шеллу через специально сформированные куки.
Шаг 4. Что изучают внутри
После проникновения в корпоративную сеть злоумышленники стремятся изучить устройства, к которым удалось получить доступ, чтобы понять, как действовать дальше. Прежде всего атакующих интересуют данные об операционной системе и архитектуре скомпрометированного узла, а также сведения о версиях ПО, установленных патчах и пакетах обновлений ( System Information Discovery ). Например, одна из вредоносных программ группировки APT35 с помощью команды PowerShell определяла, относится ли процессор узла к семейству x64, а другие вредоносные программы этой группировки получали версию операционной системы, UUID и имя узла и передавали их на командный сервер.
Злоумышленники собирают информацию о сетевой конфигурации и параметрах скомпрометированной системы ( System Network Configuration Discovery ). Атакующие запускают утилиты сетевой диагностики и вредоносное ПО, обладающее соответствующими функциональными возможностями. Группа Mustang Panda применяла утилиты ipconfig и arp, а группа Hexane — ping и tracert. Группировка Dark Caracal использовала троян для удаленного управления Bandook, в котором есть команда для получения публичного IP-адреса узла.
Большинство группировок стараются идентифицировать пользователей скомпрометированного узла и определить их степень активности ( System Owner, User Discovery ). С этой целью атакующие запускают системные утилиты либо вредоносное ПО с соответствующей функциональностью. Веб-шелл Caterpillar , разработанный группой Volatile Cedar, позволяет получить системные сведения, данные о сетевой конфигурации, список пользователей и многое другое.
Атакующие изучают процессы, запущенные на скомпрометированных узлах ( Process Discovery ). С этой целью могут использоваться как системные утилиты, так и вредоносное ПО. К примеру, группировки APT15 и OilRig собирали сведения о процессах с помощью утилиты командной строки tasklist. Группа Bitter применяла вредоносное ПО, которое создавало снимок запущенных процессов при помощи функции CreateToolhelp32Snapshot из набора Windows API.
Злоумышленники ищут любую потенциально полезную информацию в файлах и каталогах, которые есть на скомпрометированных узлах ( File and Directory Discovery ). Перечисление файлов — одна из функциональных возможностей приложений, развернутых группой Bahamut в рамках кампаний Operation BULL и Operation ROCK. APT-группировка MuddyWater в ходе своих атак использовала вредоносное ПО, которое проверяло, есть ли в каталоге ProgramData подкаталоги или файлы с ключевыми словами Kasper, Panda или ESET. В арсенале группы Desert Fаlcons есть инструмент для рекурсивного просмотра каталогов на всех дисках и поиска определенных файлов по их путям.
Шаг 5. Поиск учетных данных
Для доступа к интересующей информации злоумышленникам могут потребоваться дополнительные учетные данные. Одна из распространенных техник — это извлечение паролей из памяти системных процессов ( OS Credential Dumping ). Группировки APT15, APT33, APT35, MuddyWater и OilRig для этой цели применяли общедоступные инструменты — Mimikatz или LaZagne ( T1003.001 , T1003.004 , T1003.005 ). Группы APT15 и Mustang Panda извлекали учетные записи из файла NTDS.dit — базы данных, в которой хранится информация Active Directory ( T1003.003 ). Mustang Panda использовала системную утилиту vssadmin, предназначенную для администрирования службы теневого копирования томов. С ее помощью киберпреступники создали теневую копию тома на контроллере домена жертвы и извлекли из нее файл NTDS.dit, в котором хранятся хеш-значения паролей всех пользователей домена.
Другая распространенная техника получения учетных записей — перехват данных, которые жертва вводит на скомпрометированном устройстве ( Input Capture ). Для его реализации злоумышленники используют специальное вредоносное ПО — кейлоггеры. Например, оно есть в арсенале группировок APT15, APT35, Bahamut, Desert Falcons, Molerats и Volatile Cedar.
Некоторые группы извлекали учетные данные из специализированных хранилищ ( Credentials From Password Stores ), в том числе из браузеров ( T1555.003 ). Группы OilRig и Stealth Falcon похищали их из диспетчера учетных данных Windows ( T1555.004 ).
Существуют и другие способы сбора учетных записей. Например, группировки APT33, Hexane, OilRig и Volatile Cedar получали пароли методом перебора ( Brute Force ). Он успешно применяется в организациях со слабой парольной политикой, из-за которой у сотрудников есть возможность устанавливать простые пароли. Легкой добычей становятся незащищенные либо слабозащищенные логины и пароли ( Unsecured Credentials ). К этой категории относятся пароли, сохраненные администраторами в файлах групповой политики — Group Policy Preference ( T1552.006 ). Несмотря на то что пароли здесь хранятся в зашифрованном виде, существуют специализированные инструменты, которые позволяют извлечь и дешифровать их. Например, группа APT33 использовала для этого утилиту Get-GPPPassword.
Шаг 6. Сбор ценной информации
APT-группировки часто снимают скриншоты с экранов жертв ( Screen Capture ) и передавали их на свои серверы. Некоторые делали видеозапись с экрана ( Video Capture ) и аудиозапись с микрофона жертвы ( Audio Capture ). Для скриншотов, видео- и аудиозаписей злоумышленники используют вредоносное ПО, в том числе инструменты собственной разработки, например StrifeWater, CANDYKING. Группа Dark Caracal использовала вредоносное программное обеспечение Bandook, в котором есть модули, способные перехватывать видео с веб-камеры и звук с микрофона жертвы.
Злоумышленники ищут ценные сведения непосредственно на компьютерах сотрудников: в пользовательских и конфигурационных файлах, локальных базах данных ( Data From Local System ). Например, группа Dark Caracal собирала полное содержимое каталога Pictures со взломанных узлов под управлением Windows.
Некоторые группировки архивируют собранные данные ( Archive Collected Data ). Так, группа Mustang Panda пользовалась архиватором для создания защищенных паролем архивов с собранными документами ( T1560.001 ), а также шифровала файлы с помощью RC4 ( T1560.003 ) перед их отправкой на сервер злоумышленников. Группа Molerats использовала инструмент DustySky, который создавал временные каталоги для размещения собранных файлов и позволял архивировать их перед отправкой за пределы корпоративной инфраструктуры. Каждая четвертая группа автоматизировала сбор данных.
Шаг 7. На связи с командным сервером
По мере необходимости APT-группировки загружают дополнительные инструменты для поддержания и расширения плацдарма в инфраструктуре жертвы ( Ingress Tool Transfer ). Передача осуществляется через каналы связи с командными серверами либо по альтернативным протоколам. Для связи с командным сервером группы часто используют распространенные протоколы прикладного уровня ( Application Layer Protocol ). Например, взаимодействие вредоносной программы группировки APT35 с командным центром осуществлялось по протоколу IRC, а группа OilRig использовала протокол DNS ( T1071.004 ), в частности общедоступный туннельный сервис requestbin.net. Вредоносное программное обеспечение Small Sieve группы MuddyWater взаимодействовало с командным центром посредством Telegram API по HTTPS ( T1071.001 ). Использование распространенных протоколов прикладного уровня приводит к смешиванию вредоносной активности с легитимным трафиком, что может усложнять ее обнаружение.
Для маскировки каналов связи ( Encrypted Channel ) APT-группировки применяют шифрование. Большинство злоумышленников шифровали трафик с помощью симметричных алгоритмов AES и RC4 ( T1573.001 ). Группа OilRig для создания туннелей использовала утилиту plink ( T1573.002 ).
Для обмена информацией и файлами с командным сервером группы используют внешние легитимные веб-сервисы ( Web Service ). Например, вредоносное ПО группировки APT35 работает через веб-сервис SOAP. Группа MuddyWater распространяла инструменты для удаленного доступа через облачное хранилище Onehub. Группа Mustang Panda использовала Dropbox для распространения трояна PlugX.
Интересный способ управления вредоносным ПО применяла группа OilRig . В качестве командного центра был задействован почтовый сервер жертвы Microsoft Exchange. Злоумышленники отправляли письма на скомпрометированные почтовые ящики. В заголовках писем содержались символы «@@». По ним бэкдор PowerExchange распознавал необходимые письма и выполнял содержащиеся в них инструкции, после чего письма автоматически удалялись. Запросы к серверу Exchange из внутренней сети не вызывают аномалий в сетевом трафике, что позволяло злоумышленникам оставаться незамеченными длительное время. Специалисты отмечают, что кампания группировки OilRig продолжалась с февраля по сентябрь 2023 года.
Шаг 8. Сокрытие следов преступления
Для APT-группировок важно оставаться незамеченными в скомпрометированной среде как можно дольше. Они прибегают к различным способам сокрытия следов присутствия. Как правило, злоумышленники предварительно тестируют образцы своих вредоносных программ и впоследствии модифицируют их для обхода антивирусного детектирования. Один из способов — обфусцирование (запутывание) вредоносного кода и использование специальных упаковщиков ( Obfuscated Files or Information ). Например, группа Dark Caracal обфусцировала строки в Bandook с помощью кодирования Base64 и их последующего шифрования.
Распространенный способ обойти защиту — замаскировать вредоносное ПО под легитимные файлы или приложения ( Masquerading ). К примеру, группа Bahamut для маскировки вредоносного ПО использовала иконки, имитирующие файлы Microsoft Office. Кроме того, эта группировка пыталась скрыть исполняемые файлы за счет изменения расширения файла на .scr для имитации заставок Windows. Группа OilRig использовала расширение файлов .doc для маскировки вредоносов под офисные документы. Еще один пример — вредоносное программное обеспечение StrifeWater группы Moses Staff. Оно имело название calc.exe, чтобы выглядеть как легитимная программа-калькулятор.
Многие APT-группировки удаляют признаки своей активности ( Indicator Removal ): очищают журналы событий и историю сетевых соединений, изменяют временные метки. Так, группа APT35 удаляла запросы на экспорт почтовых ящиков со взломанных серверов Microsoft Exchange. Большинство злоумышленников после достижения поставленных целей полностью удаляют со скомпрометированных устройств весь свой арсенал ПО. Эти действия впоследствии сильно усложняют расследование инцидентов специалистам по кибербезопасности.
Для обхода средств защиты злоумышленники могут проксировать выполнение вредоносных команд с помощью файлов, подписанных доверенными цифровыми сертификатами ( System Binary Proxy Execution ). Например, группировка APT35 использовала файл rundll32.exe для выполнения функции MiniDump из системной библиотеки comsvcs.dll при дампе памяти процесса LSASS. Другой пример — группа Dark Caracal использовала скомпилированный файл Microsoft Compiled HTML Help, содержащий команду на загрузку и запуск вредоносного файла.
На примере действий исследованных нами APT-группировок, атакующих Ближний Восток, мы проследили во многом типичный путь злоумышленников к своей цели — атаке на организацию, результатом которой может стать любое нежелательное событие, в том числе и недопустимое (например, остановка производства, техногенная или даже экологическая катастрофа). На наш взгляд, тактики и техники злоумышленников, приведенные в этой статье, во многом коррелируют с типичными приемами группировки, действующей в любом другом регионе, что подтверждают другие наши исследования . Можно даже сказать, что действия этих групп демонстрируют образцово-показательную цепочку атак, так что их можно брать за образец и читать лекции по kill chain для начинающих кибердетективов.
До новых распутываний!
