Agenda Ransomware атакует Windows через Linux-версию с использованием BYOVD и легитимных инструментов

С января 2025 года Agenda поразила более 700 жертв в 62 странах, в основном ориентируясь на организации в развитых рынках и высокодоходных отраслях. Наиболее пострадали компании в США, Франции, Канаде и Великобритании, причем manufacturing, technology, финансовые услуги и здравоохранение оказались среди наиболее затронутых секторов.

Уникальность этой атаки заключается в использовании Linux-бинарника ransomware на Windows-системах через легитимные инструменты удаленного управления. Злоумышленники использовали WinSCP для безопасной передачи файлов и Splashtop Remote для выполнения Linux-версии ransomware на Windows-машинах. Такой подход позволяет обходить традиционные средства защиты, ориентированные на Windows, включая обычные платформы EDR (обнаружения и реагирования на конечных точках).

Атака демонстрирует сложные методы, включая использование BYOVD (Bring Your Own Vulnerable Driver) для уклонения от защиты и развертывание нескольких экземпляров SOCKS-прокси в различных системных каталогах для маскировки трафика командования и управления. Злоумышленники злоупотребили легитимными инструментами, установив AnyDesk через платформу удаленного мониторинга и управления ATERA Networks и ScreenConnect для выполнения команд.

Особую озабоченность вызывает целевое воздействие на инфраструктуру резервного копирования Veeam. Атакующие использовали специализированные инструменты извлечения учетных данных, систематически собирая учетные данные из нескольких баз данных резервных копий, чтобы компрометировать возможности аварийного восстановления организации перед развертыванием полезной нагрузки ransomware.

Цепочка атаки началась с фишинговой кампании, использующей поддельные страницы CAPTCHA, размещенные на инфраструктуре хранения Cloudflare R2. Эти страницы представляли убедительные реплики законных запросов проверки Google CAPTCHA. Анализ обфусцированного JavaScript на этих страницах выявил многоэтапную систему доставки полезной нагрузки, которая инициировала загрузки с дополнительных серверов командования и управления.

Для повышения привилегий злоумышленники развернули DLL SOCKS-прокси, которая загружалась непосредственно в память с использованием легитимного процесса Windows rundll32.exe. Также была создана учетная запись администратора бэкдора с именем "Supportt" для обеспечения постоянного повышенного доступа, а пароль легитимной учетной записи администратора был сброшен для сохранения контроля.

Проведена обширная разведка для картирования сетевой инфраструктуры. Злоумышленники злоупотребили законными возможностями удаленного управления ScreenConnect для выполнения команд обнаружения через временные командные сценарии, систематически перечисляя доверительные отношения домена и идентифицируя привилегированные учетные записи, при этом выглядя как обычная административная деятельность.

Для уклонения от защиты атакующие развернули сложные инструменты анти-анализа. Подтверждено, что как 2stX.exe, так и Or2.exe используют драйвер eskle.sys для возможностей анти-AV через атаку BYOVD. Дополнительный компонент с именем msimg32.dll был идентифицирован как дроппер, который развертывает два файла драйвера при выполнении: rwdrv.sys и hlpdrv.sys, которые ранее документировались в кампаниях Akira для получения доступа на уровне ядра и потенциального завершения традиционных решений EDR.

Для бокового перемещения были систематически развернуты несколько клиентов PuTTY SSH на скомпрометированных системах для облегчения перемещения к Linux-системам в среде. Эти переименованные исполняемые файлы PuTTY позволили злоумышленникам устанавливать SSH-соединения с Linux-инфраструктурой, расширяя их охват за пределы Windows-систем.

Инфраструктура командования и управления была установлена через развертывание нескольких экземпляров SOCKS-прокси, идентифицированных как бэкдор COROXY. Эти прокси были систематически размещены в различных системных каталогах, чтобы создать распределенную сеть каналов связи, которая маскировала шаблоны вредоносного трафика и уклонялась от решений сетевого мониторинга.

Финальное развертывание ransomware продемонстрировало кроссплатформенное выполнение. WinSCP использовался для безопасной передачи файлов Linux-бинарника ransomware на Windows-систему, а служба управления Splashtop Remote использовалась для выполнения Linux-бинарника ransomware непосредственно на Windows-системах. Этот нетрадиционный подход использовал возможности удаленного выполнения Splashtop для запуска кроссплатформенной полезной нагрузки, обходя традиционные средства контроля безопасности, ориентированные на Windows.

Анализ Linux-варианта ransomware выявил расширенные возможности конфигурации и платформенно-специфическое таргетирование. Бинарник реализует комплексные параметры командной строки, включая режим отладки, уровни ведения журнала, спецификации путей, конфигурации белого списка и параметры управления шифрованием. Обновленные образцы включают обнаружение Nutanix AHV, расширяя таргетирование для включения платформ гиперконвергентной инфраструктуры.

Окружения, использующие платформы удаленного доступа, централизованные решения резервного копирования или гибридные инфраструктуры Windows/Linux, могут быть подвержены риску. Предприятиям рекомендуется ограничить использование инструментов удаленного доступа авторизованными хостами и постоянно отслеживать необычную активность. Необходимо срочно пересмотреть posture безопасности, чтобы учесть эти нетрадиционные векторы атак, и реализовать расширенный мониторинг инструментов удаленного управления и доступа к системам резервного копирования.

URLs

• 104.164.55.7/231/means.d
• 45.221.64.245/mot/
• http://185.141.216.127/tr.e
• https://chatgptitalia.net/
• https://pub-2149a070e76f4ccabd67228f754768dc.r2.dev/I-Google-Captcha-Continue-Latest-27-L-1.html
• https://pub-959ff112c2eb41ce8f7b24e38c9b4f94.r2.dev/Google-Captcha-Continue-Latest-J-KL-3.html

SHA1

• c150e4ab20d59affc62b916c2c90686f43040a9f

SHA256

• 15e5bf0082fbb1036d39fc279293f0799f2ab5b2b0af47d9f3c3fdc4aa93de67
• 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0
• 331d136101b286c2f7198fd41e5018fcadef720ca0e74b282c1a44310a792e7f
• 3dba9ba8e265faefce024960b69c1f472ab7a898e7c224145740f1886d97119f
• 454e398869e189874c796133f68a837c9b7f2190b949a8222453884f84cf4a1b
• 549a1ae688edfcb2e7a254ac3aded866b378b2e829f1bb8af42276b902f475e6
• 5f0253f959d65c45a11b7436301ee5a851266614f811c753231d684eb5083782
• 5fff877789223fa9810a365dfdeafe982c92f346ecd20e003319c3067becd8ba
• c0f7c2bb04aa09dae62f0e5feeb7c9c867685abc788ae6b0e6928ad7979dbcaf
• e14ba0fb92e16bb7db3b1efac4b13aee178542c6994543e7535d8efaa589870c
• e38d4140fce467bfd145a8f6299fc76b8851a62555b5c0f825b9a2200f85017c
• e46bde83b8a3a7492fc79c22b337950fc49843a42020c41c615b24579c0c3251
• f488861f8d3d013c3eef88983de8f5f37bb014ae13dc13007b26ebbd559e356e