Группировка Elons атаковала через уязвимости в Oracle DBS Job Scheduler

Инцидент начался с многочисленных попыток несанкционированного доступа к базе данных Oracle, предоставленной через интернет. Злоумышленник методом подбора получил действительные учетные данные для пользователя SYS с привилегиями SYSDBA, что позволило выполнять административные операции. Первой точкой входа стало использование функции внешних заданий Oracle DBS Job Scheduler (extjobo.exe). Этот компонент, работающий с правами службы OracleJobScheduler, позволяет выполнять команды операционной системы через именованный канал. Атакующий воспользовался этой возможностью для удаленного выполнения команд на сервере базы данных под управлением Windows.

После получения первоначального доступа злоумышленник применил серию сложных техник для закрепления в системе. Были зафиксированы выполненные через extjobo.exe команды PowerShell, закодированные в Base64. Первые команды были нацелены на сбор информации о системе: модели процессора, объеме оперативной памяти, версии операционной системы и номере порта RDP. Следующим шагом стало скачивание полезной нагрузки с контролируемого TA сервера командования и управления (C2, Command & Control) с IP-адресом 80.94.95.227. Исследователи предполагают, что загружаемый файл tfod.cmd содержал код для создания обратной оболочки (reverse shell), основанный на открытых скриптах, доступных на GitHub. Характерно, что после выполнения все инструменты немедленно удалялись, что затрудняло последующий анализ.

Для обеспечения скрытного и постоянного доступа злоумышленник развернул туннелирование трафика с помощью легитимного инструмента Ngrok. Этот инструмент создает зашифрованные туннели для доступа к локальным службам извне. На атакованном сервере был размещен исполняемый файл ngrok.exe и файл конфигурации ngrok.yml, содержащий аутентификационный токен. TA установил туннель для протокола удаленного рабочего стола (RDP) на порт 3389, что позволило организовать интерактивный сеанс. Перед установкой соединения TA создал локальную учетную запись «Admine$» и добавил ее в группу администраторов, используя для этого, вероятно, техники манипуляции токенами или дампа процессов с помощью обнаруженного на сервере инструмента Process Hacker (переименованного в PT.exe).

Обладая правами администратора, злоумышленник приступил к финальной стадии атаки - развертыванию программы-вымогателя. Файл шифровальщика был сохранен в системной папке C:\PerfLogs\ под именем win.exe с нестандартным расширением, что, возможно, было попыткой обхода систем защиты. Одновременно была создана задача по расписанию «Windows Update BETA» для автоматического запуска шифровальщика при следующей загрузке системы. Процесс шифрования сопровождался созданием лог-файла mcv.dll и файла с требованием выкупа Elons_Help.txt.

Содержание требования выкупа и технические детали, выявленные группой киберразведывательной информации Yarix (YCTI), позволили связать эту атаку с группировкой Elons, являющейся вариантом семейства программ-вымогателей Proxima/Black Shadow. IP-адрес C2-сервера 80.94.95.227 имеет многочисленные негативные оценки в базах данных репутации и ранее связывался с кампаниями по распространению трояна Quasar RAT. Исследования на русскоязычных форумах и в репозиториях GitHub подтвердили, что стиль атаки и содержание ransom note характерны для этой группировки.

Важным аспектом инцидента стало то, что благодаря грамотно выстроенной сетевой сегментации в инфраструктуре жертвы атакующий не смог распространить свое влияние за пределы сервера базы данных. Анализ не выявил успешных попыток эксфильтрации данных, что, вероятно, и стало причиной отсутствия публикации информации о компании на ресурсах злоумышленников. После завершения шифрования TA провел тщательную зачистку, выполнив команды для удаления всех использованных инструментов, файла шифровальщика и созданной задачи по расписанию с помощью вспомогательной утилиты ss.exe.

IPv4

• 80.94.95.227

Emails

• [email protected]
• [email protected]

Auth token (Ngrok)

• 2cVvqre1pBINhjPp3otcmwEXw2q_7TadLixKhafzj9LfeM1zH