Фишинговая кампания STAC6405 использует легитимные средства удаленного управления для скрытого проникновения в десятки организаций

Кампания, ранее отслеживавшаяся независимо экспертами Sophos (под кодовым именем STAC6405) и Red Canary, использует сразу два независимых инструмента RMM: самодельную версию SimpleHelp 5.0.1 и ретранслятор ScreenConnect. Такая двойная архитектура создает избыточные каналы доступа: если один из них будет перекрыт, второй продолжит работу. Это делает защиту особенно сложной.

Начало атаки - фишинговое письмо, имитирующее сообщение от Управления социального обеспечения США (SSA). Пользователю предлагают ознакомиться с новым заявлением и перейти по ссылке. Ссылка ведет не на подставной домен, а на взломанный сайт мексиканского бизнеса gruta.com.mx. Такой прием позволяет обойти репутационные фильтры почтовых шлюзов - у легитимного домена с давней историей рейтинг доверия высок. На странице жертву просят подтвердить адрес электронной почты (сбор контактов для последующих атак), а затем предлагают скачать файл со второго взломанного ресурса - сайта кубинского продуктового магазина cubatiendaalimentos.com.mx. Вредоносный исполняемый файл statement5648.exe замаскирован под официальный документ SSA: в проводнике Windows расширение скрыто, а иконка и заставка, встроенные через JWrapper, имитируют документ.

Ключевой момент - запрос контроля учетных записей (UAC). Вместо красного предупреждения о неизвестном издателе пользователь видит синий значок с надписью "Издатель проверен: SimpleHelp Ltd". Сертификат Thawte действителен, и слово "Help" в названии компании ассоциируется со службой поддержки SSA. Это существенно повышает вероятность одобрения установки. После этого все последующие действия происходят без единого диалогового окна.

Файл statement5648.exe - это загрузчик на базе JWrapper. Он извлекает встроенную среду выполнения Java 1.7.0_79 (2015 года) и расшифровывает конфигурацию, содержащую адрес управляющего сервера: udp://84.200.205[.]233:5555. Затем запускается установка службы. Двоичный файл SimpleService.exe регистрирует службу Windows с именем "Remote Access Service" и выполняет две критически важные операции для сохранения доступа. Во-первых, он прописывает ключ реестра SafeBoot, обеспечивающий работу программы даже при загрузке в безопасном режиме с сетью - стандартной реакции администраторов на подозрительную активность. Во-вторых, запускается сторожевой процесс, который контролирует файл sgalive: если основной компонент перестает его обновлять, служба автоматически перезапускает его.

Далее запускается SimpleGatewayService.exe - основная полезная нагрузка на Java. Она связывается с сервером злоумышленника по протоколу UDP на порту 5555. Одновременно на жертвенном компьютере устанавливается вторая программа - клиент ScreenConnect, который подключается к ретранслятору на сервере sslzeromail.run[.]place (IP 213.136.71[.]246) через TCP-порт 8041. Таким образом, у атакующего есть два независимых канала: один для автоматизированных команд и сбора данных через SimpleHelp, второй для интерактивного доступа к рабочему столу через ScreenConnect.

Для взаимодействия с пользовательским сеансом (поскольку служба работает в сессии 0 от имени SYSTEM) используется цепочка из двух вспомогательных программ. session_win.exe получает привилегию SeDebugPrivilege, копирует токен процесса winlogon.exe и запускает дочерние процессы в контексте интерактивного рабочего стола жертвы. elev_win.exe обеспечивает повышение привилегий без запроса подтверждения через ShellExecuteEx с параметром 'runas'.

Securonix в своем [исследовании] детально описывает автоматизированный цикл наблюдения, который запускается на компьютере жертвы сразу после установки. Аналитики зафиксировали за один час наблюдения 986 событий создания процессов, порожденных исключительно фоновыми мониторами. Три независимых цикла опроса работают параллельно: каждые 15 секунд выполняется команда netsh wlan show interfaces для проверки сетевых интерфейсов; каждые 23 секунды запускается elev_win.exe с параметром -mouselocation для определения присутствия пользователя; каждые 67 секунд - блок из четырех запросов: wmic SecurityCenter2 (для проверки антивируса, брандмауэра и антишпионского ПО) и netsh advfirewall. Все четыре запроса выполняются синхронно, что является признаком автоматизации, а не ручной работы оператора.

Особого внимания заслуживает прием обхода систем обнаружения на основе имени процесса. Для получения информации об антивирусе вредоносная программа одновременно выполняет два вызова: прямой через wmic.exe и обходной через cmd.exe, который запускает копию wmic.exe с переименованным расширением - wmic.exe.bak. Этот файл размещается в папке C:\Windows\System32\wbem\ и является надежным индикатором компрометации. Имя wmic.exe.bak не отслеживается стандартными правилами EDR, ориентированными на "wmic.exe".

Почему злоумышленники выбрали именно легитимное ПО для удаленного управления? Все исполняемые файлы SimpleHelp и ScreenConnect имеют действительные цифровые подписи от SimpleHelp Ltd и ConnectWise, выданные доверенным центром Thawte. Антивирусы, SmartScreen и метка "загружено из интернета" не срабатывают - подпись считается безопасной. Средства защиты сети видят исходящие соединения к известным коммерческим адресам. Единственный способ обнаружить присутствие - анализ поведения: необычные цепочки процессов, автоматические опросы с фиксированным интервалом, создание службы из нестандартного пути, наличие переименованных системных утилит.

Версия SimpleHelp 5.0.1, скомпилированная в 2017 году, почти наверняка является взломанной или утекшей сборкой, которая распространяется на подпольных форумах. Срок действия сертификата истек в 2018 году, лицензия отсутствует. Это означает, что злоумышленники не заплатили за инструмент и не оставили финансовых следов.

На данный момент атрибуция не установлена. Securonix оценивает активность как финансово мотивированную деятельность брокера первоначального доступа (IAB) или предшественника атаки программ-вымогателей, нацеленной на западный экономический блок. После получения персистентного доступа атакующий может в любой момент вернуться, выполнять команды в сеансе пользователя, передавать файлы в обе стороны и перемещаться по сети. Все это происходит без единого фрагмента традиционного вредоносного ПО на диске - только легитимно подписанные утилиты от известных вендоров.

Для полного устранения угрозы мало удалить службу и ключи реестра. Необходимо искать файл wmic.exe.bak, проверять ветку SafeBoot и анализировать, не были ли доставлены вторичные нагрузки за время работы оператора. Эта кампания еще раз доказывает: когда вредоносное ПО маскируется под легитимный инструмент IT-администрирования, единственным надёжным методом обнаружения становится поведенческий анализ и телеметрия хоста, способные выявить аномальные паттерны запуска процессов и автоматические циклы опроса.

IPv4

• 213.136.71.246

IPv4 Port Combinations

• 84.200.205.233:5555

Domains

• sslzeromail.run.place

SHA256

• 11914d10b51b5a96606ae606b5ab70d79550e36c1cce94a86134107c59075e0c
• 3e4b3559fdbe584e19a1ff9b3142b429c6fb91aaa63b5c922c8c5b32c38e426a
• 641230a9f3091bdd38d04c6df96062bfc82dfc4ff6f663ceb522d3881d6af53a
• 76d85124db2778baecee24cc5ad56c9a3060c41c5b3c1b5cdc7f0435e0f77cac
• 810a99a7d6696a36491530e286476b4cf8a819a47fb5e3801fdfecfdb2dc6193
• 9369d7194ab03362e9e7af022a48bc6d4e7d91a6ab7c4b5cf5d90abbcd8c7012
• 97f801e750cfc2d4558020fb246782e034fd6101d75a59d8915b4f2b2b50ebd9
• d953dfbe8d91dc9fafad0a6117e1276fa636d4ae1b6a4d81616ff2446cf09234
• dbdddea03c3fc4c2574ce4221450ec86221ebc615c4915c4c4eb3f2a5e3f5b25