Даже взломщикам лень писать сложный код. Они просто просят вас запустить терминал
Хитрость и никакой магии: почему психология побеждает технологии?
Группировка Velvet Tempest, известная по участию в громких атаках с программами-вымогателями, вновь попала в поле зрения специалистов. На этот раз команду связали с цепочкой вторжений, где злоумышленники применяли технику ClickFix, встроенные средства Windows и набор вредоносных компонентов, ведущих к развёртыванию CastleRAT и инфраструктуры, связанной с Termite.
Наблюдения провела компания MalBeacon, которая в течение 12 дней отслеживала действия атакующих в эмулированной среде, повторяющей инфраструктуру крупной некоммерческой организации из США. В лабораторной сети было более 3000 конечных устройств и свыше 2500 пользователей, что позволило увидеть почти полный сценарий атаки.
По данным MalBeacon, начальный доступ злоумышленники получили через malvertising-кампанию. Жертву перенаправляли на страницу с приманкой ClickFix и CAPTCHA, где предлагали вставить запутанную команду в окно «Выполнить» Windows. После запуска начиналась цепочка команд cmd.exe, а для загрузки первых компонентов использовалась утилита finger.exe. Один из файлов маскировали под PDF-документ, хотя внутри находился архив.
После проникновения операторы Velvet Tempest вручную изучали среду, собирали сведения об Active Directory, искали хосты в сети и оценивали конфигурацию инфраструктуры. Для кражи сохранённых в Chrome учётных данных применялся PowerShell-скрипт. Адрес, с которого загружался скрипт, авторы отчёта связали с подготовкой атак с использованием Termite.
На следующих этапах PowerShell использовали для загрузки дополнительных команд и запуска новых модулей. Через csc.exe злоумышленники собирали .NET-компоненты во временных каталогах, а для закрепления размещали Python-модули в C:\ProgramData. В финале цепочки в систему попадал DonutLoader, после чего загружался бэкдор CastleRAT. Семейство CastleRAT связывают с загрузчиком CastleLoader, который уже применяли для распространения разных троянов удалённого доступа и стилеров, включая LummaStealer.
MalBeacon подчёркивает, что в зафиксированном вторжении шифровальщик Termite в итоге не запустили, хотя инфраструктура и отдельные инструменты указывали на связь с подобными операциями. Обычно Velvet Tempest относят к участникам атак с двойным вымогательством, когда перед шифрованием данные сначала крадут.
За группировкой уже давно тянется след из самых разрушительных кампаний последних лет. С Velvet Tempest связывали развёртывание Ryuk, REvil, Conti, BlackMatter, BlackCat или ALPHV, LockBit и RansomHub. Приём ClickFix также всё чаще используют и другие операторы вымогателей. Ранее о похожих схемах сообщали и в связи с Interlock.