Эксперты компании Huntress обнаружили новый опасный вектор атаки, при котором злоумышленники использовали незашифрованные коды восстановления для доступа к порталу безопасности и подавления системы защиты. Инцидент произошел в рамках более масштабной кампании по эксплуатации уязвимостей в VPN-устройствах SonicWall, которая привела к развертыванию вредоносного ПО Akira ransomware (шифровальщик) в инфраструктуре жертвы.
Описание
Специалисты SOC (Security Operations Center - центр безопасности) Huntress в регионе Азиатско-Тихоокеанского региона зафиксировали подозрительную активность: несколько административных учетных записей выполняли команды удаления теневых копий на множестве узлов организации. Аналитики немедленно initiated процедуру массовой изоляции затронутых систем, чтобы предотвратить дальнейшее распространение атаки. В ходе расследования выяснилось, что злоумышленники получили первоначальный доступ через скомпрометированное VPN-устройство SonicWall организации, что позволило им маскироваться под легитимных внутренних пользователей.
Особый интерес представляет следующий этап атаки. При обследовании доменного контроллера аналитики обнаружили, что злоумышленник нашел на рабочем столе инженера безопасности текстовый файл, содержащий коды восстановления Huntress. Эти коды предназначены для обхода многофакторной аутентификации (MFA) в чрезвычайных ситуациях, но при хранении в открытом виде они становятся мощным инструментом в руках злоумышленников.
Используя полученные коды, атакующие получили полный доступ к порталу Huntress под учетной записью инженера безопасности. Вместо того чтобы немедленно запускать дополнительные вредоносные действия, они начали систематически закрывать активные инциденты безопасности и инициировать удаление агентов EDR (Endpoint Detection and Response - система обнаружения и реагирования на угрозы на конечных точках) с компрометированных систем. Эта тактика направлена на снижение видимости атаки для защитных систем и организации, что позволяет беспрепятственно продолжать эксплуатацию.
Подтверждение несанкционированного доступа было получено после оперативного взаимодействия с партнером - выяснилось, что действия от имени учетной записи инженера безопасности выполнялись с IP-адреса, ранее связанного с другими атаками на устройства SonicWall. Злоумышленники не только подавляли оповещения, но и пытались деинсталлировать агенты безопасности, что могло бы полностью ослепить систему защиты организации.
Данный инцидент наглядно демонстрирует, что хранение кодов восстановления, паролей и других учетных данных в открытом виде представляет собой критический риск. Такие данные должны защищаться с тем же уровнем строгости, что и пароли привилегированных учетных записей. Рекомендуется использовать шифрованные менеджеры паролей, избегать хранения чувствительной информации в текстовых файлах на рабочих столах или в общих каталогах и регулярно обновлять коды восстановления, если система это позволяет.
В условиях растущей сложности кибератак недостаточно полагаться только на технологии - необходимо обеспечивать комплексную защиту, включающую как технические меры, так и обучение сотрудников правилам кибергигиены. Случай с незашифрованными кодами восстановления лишний раз подчеркивает: именно на таких уязвимостях злоумышленники все чаще строят свои атаки, обходя даже продвинутые системы безопасности.
Индикаторы компрометации
IPv4
- 104.238.221.69
SHA256
- 6f1192ea8d20d8e94f2b140440bdfc74d95987be7b3ae2098c692fdea42c4a69
