Чем нас «радовали» злоумышленники последние полгода

Чем нас «радовали» злоумышленники последние полгода
Последние полгода были, мягко говоря, непростыми. Новая реальность – новые векторы кибератак, хотя и про старые, проверенные временем инструменты злоумышленники не забывали. Solar JSOC и JSOC CERT скучать не приходилось: атаки на RDP, новые оболочки известного ВПО и методы сокрытия Mimikatz… Подробности, как всегда, письмом ниже.


Общие тренды



Эксплуатация темы COVID-19


Во втором квартале 2020 года злоумышленники активно эксплуатировали тему пандемии в атаках с использованием социальной инженерии (неожиданно, правда?). Как правило, вредоносные письма имитировали официальную рассылку с информацией о коронавирусе, что в период всеобщей паники и напряженности существенно повысило эффективность таких атак. Причем хакеры задействовали не только массовые вирусы (шифровальщики, банковские трояны, RAT и т.д.), но также были случаи использования темы пандемии APT-группировками. Атаковали практически все отрасли и типы клиентов (от SMB до enterprise и госкорпораций).

Пример фишингового письма якобы от Центра по контролю и профилактике заболеваний США:



Шифровальщик Dharma и атаки на RDP


Во время пандемии многие компании организовывали удаленный режим работы в основном по RDP. Кто во что горазд как умел. Это спровоцировало рост успешных атак на организации по двум векторам: brute-force атаки по RDP и взлом систем сотрудников с последующим проникновением в инфраструктуру.

Кроме того, в конце марта 2020 года на теневых форумах появилось объявление о продаже исходников шифровальщика Dharma за 2000$. А уже в апреле и мае мы столкнулись с расследованиями инцидентов, в которых злоумышленник (и, судя по итогам расследования, это были несколько разных атакующих) проник в инфраструктуру жертвы, перебрав пароль от локальной учетной записи администратора по протоколу RDP. После этого он решил обойти антивирус простым, но эффективным способом: запустил несколько десятков копий шифровальщика в разных оболочках. Большинство файлов были обнаружены и удалены антивирусом, но для успешного шифрования хватило одного незадетектированного сэмпла. Попытки злоумышленника обойти защиту видны в журналах антивируса:



Данный факт позволяет предположить, что исходные коды Dharma кто-то все-таки купил и умело пользуется им, накрывая шифровальщик различными обертками.

Использование легитимных сервисов


Сохранился тренд на использование находящихся в публичном поле эксплойтов для компрометации необновленных веб-сервисов. Тот же ShellShock, например, до сих пор часто применяется при атаках на госсектор. Аналогичные векторы встречаются в атаках на энергетику и ТЭК. E-сommerce и банки, напротив, довольно неплохо выстраивают защиту собственных веб-приложений, поэтому с такими проблемами сталкиваются крайне редко.

В одном из расследований нам встретилось использование комбинации уязвимостей на JBoss Web Application Server. В результате их эксплуатации злоумышленник поместил на сервер шелл (jcmd.war), а для передачи команд этому шеллу воспользовался SSRF-уязвимостью в WebLogic-сервере:



Команды представляли собой powershell-скрипты, которые выполняли на системе различные действия и отправляли команды по DNS-туннелю на легитимный сайт ceye.io, созданный ИБ-специалистами для тестирования корпоративных систем:



На сайте в аккаунте злоумышленника появлялось нечто подобное:



В итоге он смог получить результат выполнения команды, собрав фрагменты ответа вручную или с помощью скрипта.

Базовые атаки и типовые злоумышленники


Ниже приведены векторы атак, которые применяли злоумышленники с низкой социальной ответственностью квалификацией. Как правило, они занимаются шифрованием серверов и рабочих станций, майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок, а также перепродажей полученных доступов более профессиональным хакерам.

Уязвимость в Citrix CVE-2019-19781


Уязвимость класса RCE, найденная в ПО Citrix NetScaler в конце 2019 года, стала одной из самых громких и легко эксплуатируемых за последнее время. После выхода новости и PoC в паблик сразу стал очевиден масштаб проблемы: десятки тысяч систем оказались уязвимы по всему миру.

Со своей стороны мы также фиксируем массовые атаки на организации кредитно-финансовой сферы, ТЭК, энергетики и промышленности. В частности, в одном из собственных расследований мы столкнулись с тем, что данная уязвимость стала точкой входа злоумышленника в инфраструктуру. Установив web shell на систему Citrix NetScaler, он смог сохранять доступ в течение семи месяцев.

Следы эксплуатации уязвимости CVE-2019-19781 выглядят так:



Новая оболочка RTM


Злоумышленники стали рассылать известный банковский троян RTM в новой оболочке, которая имеет довольно простую структуру и работает в три этапа. Ниже приведен первый слой обертки, который расшифровывает шелл-код и передает ему управление.



Далее шелл-код, имеющий примерно такую же простую структуру, расшифровывает и запускает исполняемый файл, который далее распаковывает RTM с помощью функции RtlDecompressBuffer и запускает его:



Как известно, последние годы RTM лидирует в российском пространстве по количеству фишинговых рассылок. Атаки направлены на максимальный захват инфраструктуры и закрепление в ней с последующей попыткой монетизации через вывод денежных средств.

Возобновление активности Emotet


Загрузчик Emotet, которого практически не использовали в России весь прошлый год, вновь активировался в июле 2020 года и в этот раз распространял банковский троян QBot. Мы фиксируем его у наших заказчиков из разных отраслей: энергетика, госсектор, кредитно-финансовая сфера. При этом один из модулей Qbot позволяет красть почтовые письма, которые операторы, распространяющие Emotet, дальше используют для фишинговых рассылок. Это значительно повышает уровень доверия получателей и увеличивает шанс заражения.

Распространялся вредонос в оболочке, которая маскировалась под приложение MFC.



В одном из защитных слоев используется control-flow обфускация.



Рассылки стилера MassLogger


Недавно мы зафиксировали у одного из зарубежных заказчиков новый стилер MassLogger. И пусть его рассылают пока нечасто, он уже попал на радары специалистов по информационной безопасности. К слову, в рассылках на российские компании он еще не был замечен.

Вирус является исполняемым файлом .NET, защищен оболочкой с множеством проверок виртуального окружения и обфусцирован. Используется три основных способа обфускации: control-flow обфускация, шифрование строк и динамическая инициализация делегатов.

Пример control-flow обфускации приведен ниже:



В начале исполнения расшифровывается один из ресурсов, который содержит в себе специальный словарь. Ключом является токен поля одного из классов, а значением – токен функции, делегатом которой нужно инициализировать это поле. Далее многие функции вызываются через эти динамически инициализированные поля.

Ниже приведен фрагмент кода, где происходит заполнение словаря и инициализация полей делегатами:



Семейство MassLogger способно отправлять собранные с компьютера жертвы данные тремя способами: на панель управления (http), на FTP-сервер или на почтовый ящик. В конфигурации вируса указаны необходимые учетные данные для FTP и почтового сервера (в зависимости от используемого метода отправки). В этом аспекте MassLogger имеет сходство с некоторыми другими стилерами .net: Hawkeye, Agent Tesla. Ниже приведен фрагмент кода с заполнением конфигурации:



Рассылки NetWire в Visual Basic оболочке


В самых разных отраслях фиксировались массовые рассылки RAT NetWire в оболочке, написанной на Visual Basic. Нам встречались как вариации с native-кодом, так и с p-code. Задача оболочки – проверка на виртуальное окружение, отладка и загрузка NetWire с определенных вшитых адресов. В прошлом году мы наблюдали множество различных семейств стилеров в похожей оболочке, но данный образец включает в себя больше методов обфускации и обнаружения виртуального окружения.

Характерный фрагмент кода этого VB-пакера указан ниже:



Пример обнаружения нежелательных сервисов по вычисляемому хешу имени сервиса (например, «VMware Tools» или «VMware Snapshot Provider»):



Рассылки Zloader с использованием Excel 4.0 макросов


У некоторых наших заказчиков из кредитно-финансовой сферы фиксировались рассылки ВПО Zloader. Пользователи получали документ Excel, при открытии которого запускались определенные формулы в ячейках, выполняющие необходимые действия, включая антианализ и загрузку ВПО. Сами формулы были разбросаны по огромному листу, чтобы их было труднее заметить и проанализировать. Стоит отметить, что технология макросов 4.0 считается устаревшей и сейчас почти не используется.



Продвинутые группировки и сложный инструментарий


Для продвинутых кибергруппировок ключевой задачей является не просто проникновение в инфраструктуру, а максимально долгое и незаметное нахождение внутри нее, длительный контроль и доступ к конфиденциальным данным (кибершпионаж). В отчетный период они действовали следующим образом.

Еще один метод скрытия Mimikatz


В одном из наших расследований злоумышленники достаточно высокого технического уровня использовали для обхода антивируса и запуска Mimikatz интересную технику. Mimikatz в зашифрованном виде был помещен в оболочку, которая принимала из командной строки два параметра: ключ и вектор инициализации. Далее с помощью библиотеки CryptoPP Mimikatz расшифровывался, и управление передавалось ему. Ниже указан фрагмент кода с установкой ключа и вектора, а также с подготовкой буфера для расшифрования данных:



В итоге средство антивирусной защиты промолчало при запуске утилиты Mimikatz и злоумышленнику удалось получить учетные данные.

Новая хакерская группировка TinyScouts


Летом 2020 года мы выявили новую киберпреступную группировку, которая атаковала банки и энергетические компании. TinyScouts отличает высокий уровень технических навыков и вариабельность сценария атаки. Подробнее о TinyScouts мы писали вот здесь .

На этом всё. Ушли на фронт новые расследования.

Игорь Залевский, руководитель отдела расследования киберинцидентов JSOC CERT
Аскер Джамирзе, эксперт по техническому расследованию отдела JSOC CERT
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.