Тесновато для двоих: Microsoft раскрыла, как две хакерские группы одновременно хозяйничали в одной сети

Расследование атаки с программой-вымогателем привело Microsoft к неожиданному выводу: в сети пострадавшей организации одновременно работали две не связанные друг с другом хакерские группировки. Первая закреплялась в инфраструктуре и готовила почву для дальнейшего контроля, вторая использовала собственные бэкдоры и другой набор приёмов. Следы обеих операций наложились друг на друга, поэтому сначала инцидент выглядел как одна длинная атака.

Расследованием занималась команда Microsoft DART, которая подключается к организациям во время серьёзных инцидентов. Специалисты сопоставили журналы событий с рабочих станций, локальных серверов, облачных ресурсов и учётных записей. Только после такой сверки удалось разделить действия двух акторов и понять, какие инструменты, учётные записи и каналы связи относились к разным цепочкам проникновения.

Первую часть атаки связали с Storm-2603, которую Microsoft раньше замечала при взломах локальных серверов SharePoint и установке программ-вымогателей. С середины 2025 года операторы Storm-2603 искали неустановленные обновления SharePoint и использовали известные уязвимости для проникновения в корпоративные сети. Microsoft уже описывала их прежние атаки через SharePoint.

В расследуемом случае специалисты увидели и дополнительную разведку. Сервер получал запросы к файлам win.ini и web.config. Подобные обращения часто используют для проверки уязвимостей локального включения файлов. При такой ошибке веб-приложение по запросу пользователя может открыть файл, который уже лежит на сервере, и выдать его содержимое наружу. Microsoft не подтвердила успешное использование найденной слабости, но характер запросов указывал на поиск дополнительных входов в сеть.

После проникновения Storm-2603 не спешила с шифрованием данных. Группа сначала изучила окружение и подготовила несколько способов вернуться в сеть. Для обследования инфраструктуры операторы установили Velociraptor, легитимный инструмент для криминалистики и реагирования на инциденты. Программа получила права SYSTEM, самый высокий уровень локальных привилегий в Windows, и помогла собрать сведения о серверах, пользователях, процессах и настройках.

Использование Velociraptor особенно осложнило расследование. Службы безопасности часто ожидают увидеть подобный инструмент во время внутренней проверки или ликвидации последствий инцидента, а не в руках злоумышленников. Storm-2603 воспользовалась доверенным названием программы, чтобы изучать сеть и не привлекать лишнего внимания.

Для удалённого доступа группа задействовала сразу несколько легитимных сервисов: туннели Cloudflare, Zoho Assist и соединения по SSH, настроенные через Visual Studio Code. Каждый канал позволял вернуться в сеть разным способом. Туннель Cloudflare выводит внутренний сервис наружу через инфраструктуру Cloudflare, Zoho Assist предназначен для удалённой поддержки, а SSH даёт защищённый доступ к командной строке. В обычной работе такие инструменты полезны администраторам, но при взломе помогают обойти часть ограничений и сохранять связь с захваченной средой.

Затем операторы создали новые локальные и доменные учётные записи с правами администратора. Локальная запись даёт контроль над отдельной машиной, доменная открывает доступ к ресурсам всей Windows-сети. Для сокрытия следов Storm-2603 также загрузила уязвимый драйвер и с его помощью вмешалась в память системы, чтобы ослабить защитные механизмы. Приём позволяет использовать слабости в легитимном драйвере против средств защиты, работающих на том же компьютере.

Пока DART отслеживала действия Storm-2603, в сети обнаружилась вторая группа. Её активность не совпадала с известными инструментами и приёмами Storm-2603. Неизвестные операторы применяли подгрузку DLL и собственные бэкдоры. DART не нашла признаков сотрудничества между двумя группами: обе воспользовались одной скомпрометированной средой, но работали независимо.

Подгрузка DLL помогает спрятать вредоносный код внутри доверенной программы. Атакующий размещает поддельную библиотеку рядом с легитимным приложением или подменяет путь к ней. Программа запускается под знакомым именем, загружает вредоносную DLL и выполняет код злоумышленника. Антивирусу и аналитикам сложнее заметить атаку, потому что в журналах фигурирует известное приложение, а не неизвестный исполняемый файл.

Наложение двух атак усложнило и поиск причин инцидента, и его устранение. Следы от бэкдоров второй группы можно было принять за ещё один этап работы Storm-2603, а легитимные утилиты первой группы легко спутать с действиями администраторов. DART пришлось одновременно изолировать скомпрометированные устройства, проверять подозрительные учётные записи, перекрывать каналы удалённого доступа и отслеживать перемещения обеих групп по сети.

Команда ежедневно координировала действия с пострадавшей организацией и подключила Microsoft Threat Intelligence. Сопоставление данных расследования с более широкой информацией об угрозах помогло отделить действия Storm-2603 от чужой активности. После сдерживания атаки специалисты дали рекомендации по закрытию пробелов в наблюдаемости, контроле учётных записей и защите локальных серверов SharePoint.

Microsoft советует в первую очередь быстро устанавливать обновления на интернет-доступные системы, особенно на локальные SharePoint-серверы. Отдельного контроля требуют учётные записи с высокими правами, средства удалённого доступа, туннели и административные программы. Организациям также нужен централизованный сбор журналов с конечных устройств, серверов, облачных сервисов и систем управления идентификацией. Разрозненные оповещения не показали бы, что в одной сети одновременно действуют две независимые группы.