Атака через Teams: группа KongTuke закрепилась в системе за пять минут с помощью ModeloRAT

Исследователи компании ReliaQuest связали активность с группой KongTuke на основе повторного использования её фирменного загрузчика на Python. Ранее эта группа, мотивированная финансовой выгодой, выступала в роли брокера первоначального доступа (IAB), то есть продавала доступ к скомпрометированным сетям операторам программ-вымогателей. KongTuke взламывала сайты на WordPress и размещала поддельные страницы с капчей или уведомлениями о сбое браузера. Посетителям предлагали скопировать и выполнить команду PowerShell. Теперь же группа освоила работу в Teams, при этом веб-методы, по всей видимости, не отброшены, а дополнены новым каналом.

Механика атаки проста, но эффективна. С внешнего арендатора Microsoft 365 приходит личное сообщение в Teams. Отображаемое имя маскируется под внутренний контакт службы поддержки или ИТ-отдела. Для этого используются символы пробелов в юникоде, которые визуально смещают имя. Жертве сообщают о проблеме с учётной записью, почтовым ящиком или сертификатом и предлагают скачать "диагностический инструмент" по ссылке на легитимный облачный файлообменник (например, Dropbox). Архив ZIP содержит портативную версию WinPython и скрипты ModeloRAT. Пользователя просят вставить в окно "Выполнить" команду PowerShell, которая скачивает архив, распаковывает его в папку AppData, удаляет ZIP и запускает первый модуль.

В рамках одной сессии за 45 дней операторы сменили пять разных арендаторов Microsoft 365, чтобы обойти блокировки. Сами чаты исходили из единого выходного узла Tor, что указывает на общего оператора. Специалисты ReliaQuest в своём отчёте подчёркивают, что такой подход даёт три преимущества: меньшее трение по сравнению с электронной почтой (шлюзы безопасности и проверки подлинности домена всё лучше блокируют фишинг), доверие к интерфейсу (внешний чат выглядит как внутренний, и сотрудники реже подвергают его сомнению) и дешевизна инфраструктуры (создать нового арендатора можно быстро и дёшево).

Но самое примечательное - не метод доставки, а устойчивость развёртываемого инструментария. Платформа ModeloRAT, которую использует KongTuke, претерпела эволюцию. В новой версии заложены три независимых канала управления (C2) на разной инфраструктуре и четыре отдельных механизма закрепления в системе. Это означает, что даже если защитникам удастся заблокировать один канал или удалить один артефакт, доступ останется. Основной имплант Pmanager.py обменивается данными с пулом из пяти серверов C2 с последовательным переключением при отказах, использует случайные пути URL и умеет обновлять себя по команде. В дополнение к нему работают два запасных бэкдора: обратный шелл и сырой TCP-бэкдор. Каждый работает на своей инфраструктуре, и блокировка одного не затрагивает другие.

Закрепление в системе реализовано многослойно. На каждом заражённом хосте присутствуют три базовых артефакта: ключ Run в реестре (часто называемый MonitoringService), ярлык в папке автозагрузки (StartManagerB.lnk) и скрипт-загрузчик VBScript. Они запускаются при входе пользователя в систему. На хостах, где оператор выполнял дополнительные действия (например, похищал файлы или запускал команды), обнаружен четвёртый механизм - плановая задача с уровнем SYSTEM, которая выполняется ежедневно в полночь и названа так, чтобы имитировать папки ChromeA или AdobeA. Примечательно, что штатная процедура самоудаления ModeloRAT не затрагивает эту задачу, поэтому она может сохраняться даже после того, как оператор покинул хост.

С точки зрения последствий, атака несёт серьёзные риски. Уже через две минуты после выполнения команды запускается модуль сбора информации, который через скрытый PowerShell опрашивает данные системы, пользователя, домена и LDAP. Затем начинается разведка и, при необходимости, кража файлов. Данные передаются одним POST-запросом без ограничения размера, то есть база данных объёмом 500 Мбайт может быть выгружена за один раз. Такой доступ может быть продан операторам программ-вымогателей, что приведёт к шифрованию сети и остановке бизнеса.

Что делать защитникам? Прежде всего, следует ограничить внешнюю федерацию Teams, внедрив список доверенных организаций. Тогда неизвестные арендаторы не смогут отправлять сообщения пользователям. Далее необходимо искать портативные сборки Python в папке "%APPDATA%\Roaming\WPy64-*", так как для управляемых корпоративных сред это нетипично. Перед возвратом хоста в эксплуатацию нужно проверить все четыре триггера персистентности: ключи Run, ярлыки автозагрузки, VBScript-загрузчики в пути с Python, а также плановые задачи с правами SYSTEM, имена которых имитируют папки AppData или ProgramData. Один оставшийся артефакт даст злоумышленнику точку входа при следующем входе.

Переход KongTuke на Teams - не единичный случай. По оценкам экспертов, этот тренд будет усиливаться. Если организации начнут активнее блокировать внешние чаты, атакующие перейдут к компрометации доверенных арендаторов поставщиков или партнёров. Кроме того, та же тактика может распространиться на Slack, Zoom Team Chat и Webex. Устойчивость же инструментария, ориентированная на выживание после частичной очистки, скорее всего, станет стандартом для подобных групп. Поэтому защиту необходимо строить на поведенческом анализе и корреляции событий, а не на разрозненных индикаторах, которые устаревают быстрее, чем блокируются.

IPv4

• 144.172.99.68
• 162.33.179.149
• 45.61.136.94
• 64.95.10.14
• 64.95.12.238
• 64.95.13.76

URLs

• https://www.dropbox.com/scl/fi/88btyiyisjwbuxhappb8m/ltuipoaensloieo.zip
• https://www.dropbox.com/scl/fi/vpyhgodqd358qtp0fmnzr/at3.zip

Emails

• HelpDesk@officeupdates366.onmicrosoft.com

SHA256

• 61338b21f568c843773c02dac4d1b773b78fdcf65ba1e65bab44a8a278875fb9
• 6d11817f510e596bb9b739dd1fddb3b1c929831b81503a4e8d7129543bf899b9
• c404f6c2efbf4ff76aef245c2b0a4d2604be4dcdc1a7711823ed5ed5c1c736df