Grixba и VSS Copying Tool: новейшее оружие в киберпространстве, созданное группой Play

Группа вымогателей Play разработала два специальных инструмента – Grixba и VSS Copying Tool – для повышения эффективности своих кибератак. Об этом сообщили специалисты Symantec, которые обнаружили и проанализировали образцы.

Новые инструменты позволяют злоумышленникам:

• перечислять пользователей и компьютеры в скомпрометированных сетях;
• собирать информацию о системе безопасности, резервном копировании и ПО для удаленного администрирования;
• копировать файлы из службы теневого копирования томов (VSS) для обхода заблокированных файлов.

Grixba — это инструмент сетевого сканирования и кражи информации, используемый для перечисления пользователей и компьютеров в домене. Он также поддерживает режим «сканирования», в котором используются WMI, WinRM, удаленный реестр и удаленные службы для определения того, какое ПО работает на сетевых устройствах.

При выполнении функции сканирования Grixba проверяет наличие антивирусных программ и средств безопасности, наборов EDR-решений, инструментов резервного копирования и инструментов удаленного администрирования. Кроме того, сканер проверяет наличие обычных офисных приложений и DirectX, что потенциально позволяет определить тип сканируемого компьютера.

Инструмент сохраняет все собранные данные в CSV-файлах, сжимает их в ZIP-архив, а затем эксфильтрирует их на C2-сервер злоумышленников, предоставляя важную информацию для того, чтобы хакеры могли спланировать следующие шаги атаки.

VSS Copying Tool – второй инструмент группы Play, который позволяет киберпресутпникам взаимодействовать со службой теневого копирования томов (VSS) через вызовы API с использованием связанной .NET-библиотеки AlphaVSS .

Служба теневого копирования томов — это функция Windows, которая позволяет пользователям создавать моментальные снимки системы и резервные копии своих данных в определенные моменты времени и восстанавливать их в случае потери данных или повреждения системы. VSS Copying Tool позволяет программам-вымогателям Play похищать файлы из существующих теневых копий томов, даже если эти файлы используются приложениями.

Оба инструмента были написаны с использованием инструмента разработки Costura .NET, который может создавать автономные исполняемые файлы, не требующие зависимостей, что упрощает развертывание вредоносного ПО на скомпрометированных системах.

Напомним, что группировка Play взяла на себя ответственность за кибератаку на американский город Окленд , произошедшую в первой половине февраля. Эта атака серьёзно нарушила работу городских IT-систем. Местным властям даже пришлось объявить в городе чрезвычайное положение.

Кроме того, в январе хакеры Play проникли в сервис электронной почты Rackspace, используя эксплойт нулевого дня, и получили доступ к некоторым данным клиентов компании.