Ниже - детали инцидента, анализ угрозы и меры защиты.
Описание
Краткое резюме
- Атакующий: HsHarada - группа вымогателей.
- Тип атаки: Вымогательство финансовых средств с жертв за расшифровку данных.
- Цель: Ключевые серверы инфраструктуры компании.
- Способ проникновения: Цепочка уязвимостей "Proxyshell" (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) в веб-сервисе Microsoft Exchange.
- Финал: Шифрование данных с требованием выкупа за расшифровку.
Хронология событий
- 26.04.2025 - Первая атака на Exchange
- 12.05.2025 - Поднятие привилегий, создание учетной записи admin$
- 12.05.2025 - Шифрование серверов
- 13.05.2025 - Начало реагирования и расследования инцидента
- 16.05.2025 - Завершение активной фазы реагирования
Технический анализ шифровальщика HsHarada
- Тип шифрования: Гибридное (AES-256 + RSA-2048).
- Распространение: Ручной запуск злоумышленниками после получения доступа.
- Действия:
- Остановка служб и виртуальных машин.
- Удаление резервных копий и теневых томов.
- Многопоточное шифрование файлов с последующим самоудалением.
- Расшифровка: Невозможна без ключа злоумышленников.
Механика проникновения в сеть
Проникновение:
- Через уязвимости ProxyShell в Exchange Server (версия 15.01.1591.010, октябрь 2018 г.).
- Загрузка веб-шеллов (например, [a-zA-Z0-9]*.aspx и App_Web_[a-z0-9]{8}.dll).
Повышение привилегий:
Учётная запись сервера Exchange входила в группу EXCHANGE TRUSTED SUBSYSTEM, имеющую права в Active Directory.
Команды, выполненные через веб-шелл:
| 1 2 3 4 5 | net user admin$ !1qaz@2wsx /add /domain GET /aspnet_client/proxy.aspx cmd=net%20user%20admin$%20!1qaz@2wsx%20/add%20/domain 443 - 154.92.130.59 ... - 200 net group "Domain Admins" admin$ /add /domain GET /aspnet_client/proxy.aspx cmd=net1%20group%20%22domain%20admins%22%20admin$%20/add%20/domain 443 - 154.92.130.59 ... - 200 |
Созданная учётка admin$ получила права администратора домена.
Повышение привилегий в домене
Учётная запись сервера Exchange входила в группу EXCHANGE TRUSTED SUBSYSTEM, которая является подгруппой EXCHANGE WINDOWS PERMISSIONS.
EXCHANGE WINDOWS PERMISSIONS в свою очередь имеет очень широкие права в рамках AD.
В частности, право добавления новых пользователей в группу Domain Admins.
Из анализа логов веб-сервера Exchange можно утверждать, что основной этап эксплуатации происходил с IP адреса 154.92.130.59.
С этого IP адреса происходили множественные запросы к разным .aspx веб шеллам. Некоторые особо важные для анализа инцидента команды, были переданы веб шеллу через GET аргументы, в связи с чем они были залогированы.
Самыми ключевыми являются следующие запросы к веб шеллу:
| 1 2 3 4 | > net user admin$ !1qaz@2wsx /add /domain `GET /aspnet_client/proxy.aspx cmd=net%20user%20admin$%20!1qaz@2wsx%20/add%20/domain 443 - 154.92.130.59 ... - 200` > net1 group "domain admins" admin$ /add /domain `GET /aspnet_client/proxy.aspx cmd=net1%20group%20%22domain%20admins%22%20admin$%20/add%20/domain 443 - 154.92.130.59 ... - 200` |
Таким образом злоумышленник получил новую учетную запись с известным ему паролем в группе доменных администраторов с полным доступом на все системы в домене.
В процессе реагирования, учетная запись была обнаружена и отключена сотрудниками.
В последствии злоумышленники предприняли попытку создать нового доменного адмнинистратора "Administrador", которая была также оперативно заблокирована. Записей в журналах об этом не сохранилось.
Меры по защите и рекомендации
Технические меры:
- Изоляция и очистка серверов Exchange.
- Внедрение двухфакторной аутентификации (2FA) для VPN.
- Централизованный сбор логов с контроллеров домена.
Резервное копирование:
- Еженедельные полные бэкапы на изолированные Unix-системы (с правами «только запись»).
- Ежемесячное копирование на офлайн-носители.
Active Directory:
- Внедрение LAPS (Local Administrator Password Solution).
- Обязательное включение SMB/LDAP Signing.
- Удаление неиспользуемых учётных записей.
Сетевая безопасность:
- Блокировка исходящих соединений на порты 139/445 для VPN-клиентов.
Организационные меры:
- Разработка плана реагирования на инциденты (IRP).
- Регулярное обучение сотрудников кибергигиене.
- План развития ИБ-инфраструктуры.
Индикаторы компрометации
Хэши шифровальщика
- CRC32: B6CDB6FA
- CRC64: DBC5B6AA10611FDF
- SHA1: e3bee671e2518c0dd3f93560a0bdc84e949aa4cf
- SHA256: 0904d1061274af5b1226156621ebf7f4ad289f9e496f24ace2714069691abbfa
- BLAKE2sp: 05ba29ac6f185ed17ecf93b181ab2d2ebd27f36f31f47ff289016cb3512c7465
IP-адреса
Серверы, с которых происходила загрузка вредоносного ПО для закрепления и продвижения в сети:
- 179.43.186.223 (https://app.any.run/tasks/6e42bb7a-79d7-4670-982a-5025b0077eb6)
- 101.99.94.104 (https://app.any.run/tasks/b18cb357-6bd8-4bb3-a47c-5e18ee76eac2)
- 154.92.130.59 (Логи IIS Exchange)
- 104.168.136.187 (Логи IIS Exchange)
Адреса операторов
- 38.175.104.0/24
- 154.92.130.59
- 185.209.199.52
- 5.34.179.144
C2 инфраструктура
- http://104.168.136.187:80/Tank/Google.com
