Группировка LeakNet наращивает активность: новая техника доступа ClickFix и скрытный загрузчик на базе Deno

Аналитики отмечают, что среднемесячное число жертв LeakNet пока невелико, но группа активно инвестирует в развитие собственной инфраструктуры и тактик. Традиционно такие операторы полагались на Initial Access Brokers (посредники по начальному доступу), которые продают скомпрометированные учётные данные или доступ к корпоративным сетям. Однако зависимость от третьих сторон создаёт операционные задержки и ограничивает круг потенциальных целей. Переход на самообеспечение через техники социальной инженерии, такие как ClickFix, позволяет группировкам контролировать весь цикл атаки и снижать затраты на одну жертву.

ClickFix - это метод социальной инженерии, при котором пользователя обманом побуждают вручную выполнить вредоносную команду, обычно через поддельное окно с сообщением об ошибке или требованием верификации. В случае LeakNet, техника доставляется через взломанные законные веб-сайты. Пользователь видит правдоподобную страницу, например, с фальшивой проверкой Cloudflare Turnstile, и инструкцию запустить команду "msiexec" для «исправления» проблемы. Эта команда, в свою очередь, загружает и исполняет следующий этап вредоносной цепочки. Как сообщили специалисты компании ReliaQuest, в нескольких недавних инцидентах они с высокой уверенностью атрибутировали активность LeakNet именно по такой схеме, обнаружив совпадения в инфраструктуре и тактиках. Подобный подход делает целью любого сотрудника, который пользуется интернетом, превращая обычный веб-сёрфинг в потенциальный вектор угрозы.

Параллельно с новым методом доступа группа усовершенствовала и этап выполнения кода. LeakNet начал использовать загрузчик, построенный на основе Deno - легитимной среды выполнения для JavaScript и TypeScript, аналогичной Node.js. Это пример техники «bring your own runtime» (BYOR), когда злоумышленники используют подписанные законные утилиты для запуска своего вредоносного кода. Ключевая особенность нового загрузчика - выполнение полезной нагрузки почти полностью в оперативной памяти. Вредоносный JavaScript передаётся Deno в виде base64-кодированной data-ссылки прямо из командной строки, что позволяет избежать записи скрипта на диск. После запуска нагрузка проводит фингерпринтинг системы, устанавливает соединение с командным сервером (C2) и входит в цикл опроса для получения дальнейших инструкций.

Для защитников такая тактика создаёт дополнительные сложности. Сигнатурный анализ и файловые средства контроля могут не сработать, так как на диске не остаётся классического исполняемого файла вредоносной программы. Разрешительные списки также теряют эффективность, поскольку Deno является легитимным и подписанным инструментом. Поэтому фокус обнаружения должен смещаться на поведенческие аномалии: запуск Deno вне среды разработки, необычные аргументы командной строки, подозрительные цепочки родительских и дочерних процессов и неожиданные исходящие сетевые подключения.

Несмотря на усложнение начальных стадий, постэксплуатационная фаза атак LeakNet остаётся поразительно последовательной, что является слабым местом группировки. Независимо от способа проникновения, после получения доступа злоумышленники следуют одному и тому же сценарию. Сначала используется техника подгрузки DLL (Dynamic Link Library), когда вредоносная библиотека jli.dll размещается в каталоге "C:\ProgramData\USOShared" и загружается с помощью легитимного процесса Java. Это позволяет маскировать активность под действия, связанные с обновлением Windows.

Далее следует горизонтальное перемещение по сети с помощью PsExec - стандартного административного инструмента Windows. Перед перемещением LeakNet запускает команду "klist" для анализа активных тикетов аутентификации Kerberos, что позволяет выявить доступные учётные записи без лишнего шума. Для промежуточного хранения полезных нагрузок и данных группа использует S3-бакеты, маскируя трафик под легальную облачную активность. Постоянство этих шагов делает поведение группировки предсказуемым. Защитникам следует сосредоточиться на обнаружении аномалий в этих процессах: подгрузка DLL из нестандартных каталогов, использование PsExec неадминистративными пользователями или в нехарактерное время, а также неожиданные исходящие подключения к облачным хранилищам от систем, которые обычно с ними не работают.

Для эффективного противодействия новым тактикам LeakNet необходима многоуровневая стратегия защиты. На этапе предотвращения стоит рассмотреть ограничение запуска диалога «Выполнить» (Win+R) для рядовых пользователей и жёсткое ограничение использования PsExec с помощью групповых политик. Блокировка недавно зарегистрированных доменов на периметре может осложнить злоумышленникам развёртывание новой инфраструктуры C2. Однако, учитывая использование компрометированных легитимных сайтов для доставки, ключевое значение приобретает внутренний мониторинг. Необходимо внедрять поведенческие детекторы, ориентированные на аномальную активность легитимных инструментов, анализировать журналы процессов на предмет подозрительных цепочек выполнения и внимательно отслеживать сетевые соединения, инициированные необычными процессами.

Ожидается, что LeakNet продолжит наращивать активность, а описанные техники - особенно бесфайловое выполнение через Deno - могут быть переняты другими группами. Уязвимым местом оператора остаётся шаблонность действий после проникновения. Своевременное обнаружение этих шагов - подгрузки DLL, использования PsExec и аномального облачного трафика - даёт защитникам критическое окно возможностей для изоляции заражённых систем и обрыва цепочки атаки до того, как будет развёрнуто шифрование. Таким образом, смещение фокуса с обнаружения самой доставки на анализ последующего поведения внутри сети становится основным условием успешной защиты от эволюционирующих угроз подобного рода.

IPv4

• 144.31.2.161
• 144.31.224.98
• 144.31.54.243
• 194.31.223.42
• 87.121.79.25
• 87.121.79.6

Domains

• apiclofront.com
• backupdailyawss.s3.us-east-1.amazonaws.com
• binclloudapp.com
• cnoocim.com
• crahdhduf.com
• delhedghogeggs.com
• fastdlvrss.s3.us-east-1.amazonaws.com
• mshealthmetrics.com
• ndibstersoft.com
• neremedysoft.com
• okobojirent.com
• sendtokenscf.com
• serialmenot.com
• tools.usersway.net
• verify-safeguard.top
• weaplink.com
• windowallclean.com