Аналитики раскрыли детали двухмесячной кибератаки с использованием многоэтапных вредоносных программ

Начальная стадия компрометации

Злоумышленники, связанные с группой Lunar Spider, использовали сильно запутывающий скрипт, который содержал минимальный объем исполняемого кода, скрытого среди большого количества бесполезного текста, чтобы затруднить анализ. JavaScript инициировал загрузку MSI-пакета, который, в свою очередь, запускал DLL-библиотеку Brute Ratel с помощью легитимной утилиты rundll32.exe. Загрузчик Brute Ratel затем внедрил вредоносную программу Latrodectus в процесс explorer.exe и установил каналы управления с несколькими доменами, проксированными через CloudFlare.

Расширение присутствия в сети

Примерно через час после первоначального доступа злоумышленники приступили к разведке, используя встроенные команды Windows: ipconfig, systeminfo, nltest и whoami. Спустя шесть часов была установлена сессия BackConnect, предоставившая возможность удаленного доступа через VNC. Это позволило злоумышленникам изучать файловую систему и загружать дополнительные вредоносные инструменты.

На третий день атаки был обнаружен файл unattend.xml (файл ответов Windows), содержащий учетные данные доменного администратора в открытом виде. Это предоставило злоумышленникам немедленный доступ к критически важным компонентам инфраструктуры.

Эскалация привилегий и горизонтальное перемещение

На четвертый день атаки злоумышленники развернули маяки Cobalt Strike и эскалировали привилегии с помощью службы вторичного входа Windows (Secondary Logon) и команды runas, используя украденные учетные данные доменного администратора. Затем была проведена активная разведка в Active Directory с помощью утилиты AdFind, после чего началось горизонтальное перемещение с использованием PsExec для удаленного развертывания Cobalt Strike на нескольких серверах, включая контроллер домена и серверы резервного копирования.

Также был развернут пользовательский .NET-бэкдор, создавший запланированную задачу для обеспечения устойчивости и установивший дополнительный канал управления. Злоумышленники попытались использовать уязвимость Zerologon (CVE-2020-1472) для перемещения на второй контроллер домена, но безуспешно.

Экфильтрация данных и завершающие действия

На двадцатый день вторжения злоумышленники активировали инструменты для экфильтрации данных, используя переименованный бинарный файл Rclone и FTP-протокол для передачи информации на внешние серверы. Процесс экфильтрации продолжался около 10 часов.

На 26-й день атаки злоумышленники вернулись к серверу резервного копирования и выполнили PowerShell-скрипт для извлечения учетных данных из программного обеспечения Veeam. Через два дня они развернули сетевой сканер RustScan для исследования подсетей в инфраструктуре жертвы.

Особенности управления и контроля

В течение почти двух месяцев злоумышленники поддерживали прерывистые соединения с командными серверами, используя BackConnect, Latrodectus, Brute Ratel и Cobalt Strike. Несмотря на длительное присутствие в сети и доступ к критически важным системам, развертывание программ-вымогателей (ransomware) не наблюдалось.

IPv4

• 138.124.183.215
• 162.0.209.121
• 185.93.221.12
• 193.168.143.196
• 195.123.225.161
• 195.123.225.251
• 195.211.98.249
• 206.206.123.209
• 217.196.98.61
• 31.13.248.153
• 45.129.199.214
• 45.135.232.3
• 45.150.65.85
• 91.194.11.183
• 94.131.108.254
• 94.232.249.100
• 94.232.249.108
• 95.164.68.73

Domains

• altynbe.com
• anikvan.com
• avtechupdate.com
• boriz400.com
• cloudmeri.com
• dauled.com
• erbolsan.com
• grasmetral.com
• illoskanawer.com
• jarkaairbo.com
• kasym500.com
• kasymdev.com
• ridiculous-breakpoint-gw.aws-use1.cloud-ara.tyk.io
• samderat200.com
• scupolasta.store
• uncertain-kitten-gw.aws-euc1.cloud-ara.tyk.io
• workspacin.cloud

URLs

• http://45.129.199.214/vodeo/wg01ck01
• https://illoskanawer.com/live/
• https://workspacin.cloud/live/

MD5

• 495363b0262b62dfc38d7bfb7b5541aa
• 4b3e9c9e018659d1cf04daf82abe3b64
• 50abc42faa70062e20cd5e2a2e2b6633
• 91889658f1c8e1462f06f019b842f109
• 9eaa8464110883a15115b68ffa1ecf7d
• a2b6479a69b51ae555f695b243e4fda1
• ad3c52316e0059c66bc1dd680cf9edad
• c8ea31665553cbca19b22863eea6ca2c
• ccb6d3cb020f56758622911ddd2f1fcb
• d7bd590b6c660716277383aa23cb0aa9

SHA1

• 23fff588e3e5cc6678e1f77fab9318d60f3ac55f
• 2d92890374904b49d3c54314d02b952e1a714e99
• 333e1c5967a9a6c881c9573a3222bed6ada911c6
• 33a6b39fbe8ec45afab14af88fd6fa8e96885bf1
• 38999890b3a2c743e0abea1122649082a5fa1281
• 4a013f752c2bf84ca37e418175e0d9b6f61f636d
• 5348970723b378c7cae35bb03d8736f8e5a9f0ac
• 8dfa63c0bb611e18c8331ed5b89decf433ac394a
• 97d72c8bbcf367be6bd5e80021e3bd3232ac309a
• ba99cd73b74c64d6b1257b7db99814d1dc7d76b1

SHA256

• 100e03eb4e9dcdab6e06b2b26f800d47a21d338885f5dc1b42c56a32429c9168
• 1a8ebf914ebea34402eecbf0985f05ae413663708d2fcc842fc27057ac5ec4ed
• 203eda879dbdb128259cd658b22c9c21c66cbcfa1e2f39879c73b4dafb84c592
• 36bc32becf287402bf0e9c918de22d886a74c501a33aa08dcb9be2f222fa6e24
• 37471af00673af4080ee21bd248536147e450d2eff45e8701a95d1163a9d62fe
• 411dfb067a984a244ff0c41887d4a09fbbcd8d562550f5d32d58a6a6256bd7b2
• 6c3b2490e99cd8397fb79d84a5638c1a0c4edb516a4b0047aa70b5811483db8f
• 77eede38abdc740f000596e374b6842902653aeafb6c63011388ebb22ec13e28
• 8fb5034aedf41f8c8c4c4022fdde7db3c70a5a7c7b5b4dec7f6a57715c18a5bf
• f4cb6b684ea097f867d406a978b3422bbf2ecfea39236bf3ab99340996b825de

• Tropical Scorpius Ransomware IOCs
• Latrodectus Loader IOCs - Part 4