Специалисты по расследованию инцидентов из команды FLARE Advanced Practices компании Mandiant, входящей в состав Google Cloud, опубликовали результаты многолетнего расследования деятельности угрозы, которую они отслеживают под обозначением UNC1945. Эта продвинутая группа нацеливалась на компании финансового сектора и сектора профессиональных консалтинговых услуг, используя в качестве плацдарма для атак управляемых сервис-провайдеров (MSP). Анализ показал, что злоумышленники обладали значительным арсеналом средств для эксплуатации различных операционных систем, включая эксклюзивные инструменты, и демонстрировали высокий уровень мастерства в сокрытии своей активности. Инцидент вновь поднимает вопрос о критической важности своевременного обновления устаревших систем, особенно в цепочках поставок ИТ-услуг.
Описание
Группа UNC1945, чья активность прослеживается с конца 2018 года, выбрала своей первоначальной целью серверы под управлением операционных систем Oracle Solaris. Именно через них злоумышленники получали доступ к сетям MSP, а затем, используя эти доверенные соединения, перемещались к своим конечным целям в финансовых и консалтинговых организациях. Такой подход, предполагающий атаку через третьи стороны, значительно усложняет обнаружение и атрибуцию, поскольку следы активности смешиваются с легитимным сетевым трафиком между партнерами.
По данным расследования Mandiant, первое проникновение произошло в конце 2018 года, когда UNC1945 скомпрометировали сервер Solaris 10, SSH-сервис которого был в тот момент открыт для интернета. На эту машину был установлен бэкдор SLAPSTICK, предназначенный для перехвата данных подключений и учётных данных. После этого наступил период затишья, продлившийся около 519 дней, что указывает на высокую терпеливость и стратегическое планирование группы. Следующая волна активности была зафиксирована лишь в середине 2020 года.
Ключевым элементом в арсенале UNC1945 стал инструмент удалённой эксплуатации EVILSUN, содержавший эксплойт для уязвимости CVE-2020-14871 в модуле подключаемой аутентификации PAM операционной системы Oracle Solaris. Эта уязвимость, позволяющая неаутентифицированному злоумышленнику с сетевым доступом скомпрометировать систему, была независимо обнаружена и сообщена специалистами Mandiant компании Oracle, которая устранила её в октябрьском патче 2020 года. Примечательно, что, согласно данным исследователей, аналогичный эксплойт предлагался на чёрном рынке ещё в апреле 2020 года по цене около 3000 долларов США, что могло быть связано с EVILSUN.
После получения первоначального доступа UNC1945 применяли комплексный подход к закреплению в системе и скрытности. Помимо бэкдора SLAPSTICK для Solaris, они использовали собственный бэкдор для Linux под названием LEMONSTICK, способный выполнять команды, передавать файлы и организовывать туннельные соединения. Для маскировки своего присутствия злоумышленники размещали инструменты в точках монтирования временной файловой системы в оперативной памяти, изменяли временные метки файлов с помощью встроенных утилит и применяли специальную программу LOGBLEACH для очистки записей в системных журналах.
Одной из самых изощрённых техник стало использование кастомной виртуальной машины на базе Tiny Core Linux, которую UNC1945 разворачивали на скомпрометированных хостах. Эта ВМ была предварительно упакована широким набором инструментов для пост-эксплуатации, включая Mimikatz (для кражи учётных данных Windows), различные сканеры сетей и уязвимостей, а также фреймворки вроде PowerSploit и PoshC2. Запуск ВМ осуществлялся через SSH-туннели с пробросом портов, что позволяло злоумышленникам напрямую взаимодействовать со своей инфраструктурой, эффективно обфусцируя трафик и скрывая реальные команды.
Используя украденные учётные данные, группа перемещалась по сетям, применяя как собственные средства, так и публично доступные инструменты, такие как Impacket с модулем SMBEXEC для удалённого выполнения команд в средах Windows без загрузки полезной нагрузки на цель. В некоторых случаях наблюдались попытки подбора паролей к SSH для Linux и HP-UX систем. Несмотря на масштабную и многоэтапную операцию, прямых доказательств эксфильтрации данных в расследованных Mandiant случаях обнаружено не было. В одном из инцидентов на завершающей стадии была зафиксирована установка программ-вымогателей ROLLCOAST, однако аналитики не связывают эту активность напрямую с UNC1945, предполагая, что доступ к среде жертвы мог быть продан другой группировке.
Деятельность UNC1945 демонстрирует характеристики высокомотивированной и хорошо оснащённой угрозы, возможно, связанной с государственными интересами (APT). Их способность годами оставаться незамеченными, использовать уязвимости нулевого дня, мастерски оперировать в разнородных средах (Unix, Windows, Linux) и эффективно использовать доступ через третьи стороны делает их серьёзной опасностью для ключевых отраслей. Основной вывод для компаний, особенно управляющих сервис-провайдеров и финансовых учреждений, заключается в необходимости повышенного внимания к безопасности устаревших систем, таких как Oracle Solaris, строгого контроля за сетевыми периметрами и тщательного мониторинга активности в своих сетях и сетях партнёров. Своевременное применение патчей остаётся одной из самых эффективных базовых мер защиты.
Индикаторы компрометации
CIDRs
- 46.30.189.0/24
- 66.172.12.0/24
MD5
- 0845835e18a3ed4057498250d30a11b1
- 2eff2273d423a7ae6c68e3ddd96604bc
- 6983f7001de10f4d19fc2d794c3eb534
- abaf1d04982449e0f7ee8a34577fe8af
- d505533ae75f89f98554765aaf2a330a
