Хактивисты из группировки 4BID расширяют географию атак: под ударом Казахстан, ОАЭ и Египет

APT

Хактивистские группировки, традиционно нацеленные на российские и белорусские организации, начали атаковать компании в Казахстане, ОАЭ, Сирии и Египте. Исследователи "Лаборатории Касперского" обнаружили, что арсенал злоумышленников пополнился новыми версиями программ-вымогателей, а также недокументированным бэкдором. В основе атак лежит эксплуатация уязвимости в Microsoft Exchange и широкое применение легитимных инструментов удалённого управления.

Описание

В центре внимания оказалась группировка 4BID, действующая вместе со смежными группами Hakerskii Kit, С.А.S. и Goffee. Ранее их жертвами становились в основном российские и белорусские организации. Однако последние наблюдения показывают, что география расширилась. Исследователи зафиксировали заражения в инфраструктуре авиакомпании из Казахстана, больницы в Египте, а также организаций из ОАЭ и Сирии. По данным экспертов, злоумышленники сами признали, что атаковать Россию стало невыгодно.

Технический анализ показал, что в большинстве случаев начальное проникновение происходит через уязвимость ProxyShell в Microsoft Exchange. Она позволяет полностью скомпрометировать сервер. После этого злоумышленники размещают веб-шелл под названием fd.aspx - модульное приложение для удалённого управления файлами и сбора данных. Оно проверяет ключ доступа в запросе и при успехе выполняет команды через PowerShell или cmd.exe. Веб-шелл также умеет передавать файлы в обе стороны, используя кодировку Base64, и собирает информацию о системе: версию ОС, имя хоста, имя пользователя, данные о дисках и процессах.

Отчёт "Лаборатории Касперского" описывает, что сразу после закрепления на сервере атакующие запускают скрипты на украинском языке. Некоторые из них, судя по коду, сгенерированы нейросетями и содержат ошибки. Скрипты развёртывают легитимные утилиты удалённого мониторинга и управления (RMM): AnyDesk, Panorama9, Microsoft Dev Tunnels. Эти программы маскируются под штатные службы Windows, например, переименовываются в "Windows Update Helper". Отдельный скрипт создаёт скрытую учётную запись локального пользователя, добавляет её во все группы, настраивает RDP и открывает порт 3389. После завершения всех действий скрипты очищают журналы событий, временные файлы и удаляют сами себя.

Помимо легитимного ПО, злоумышленники используют постэксплуатационные фреймворки. Среди них - Sliver, Havoc, Apollo Mythic и Adaptix. Например, Sliver загружается через самодельный загрузчик backupagnt.exe, который инжектирует полезную нагрузку в память процесса. Все экземпляры Sliver связывались с командным сервером по адресу 185.221.153.121. Ещё один обнаруженный фреймворк - AdaptixC2 с беконом типа BEACON_HTTP, который умеет выполнять команды, работать с файлами, перенаправлять трафик через SOCKS и загружать модули BOF. Конфигурация агента зашифрована алгоритмом RC4.

Особого внимания заслуживает ранее неизвестный бэкдор BlackSalt. Он написан на VBS и представляет собой классическую обратную оболочку. Бэкдор подключается к серверу управления 45.150.109.2, получает команды и исполняет их через cmd.exe. Установка происходит через самораспаковывающийся архив с помощью легитимной утилиты WinSW.

Для нейтрализации антивирусных решений хактивисты применяют EDR-киллеры - программы, останавливающие процессы защиты. Они используют технику BYOVD (принеси свою уязвимую утилиту). Один из инструментов - модифицированная версия проекта GhostDriver, который загружает в ядро уязвимый драйвер RentDrv2 (CVE-2023-44976) и через него завершает процессы безопасности. В списке целей - десятки процессов, включая MsMpEng.exe (Microsoft Defender), avp.exe ("Лаборатория Касперского"), Sysmon, Elastic Agent и другие. Впрочем, разработчики заявляют, что их продукты устойчивы к таким атакам.

В ходе кампаний обнаружены две новые программы-вымогатели. Первая - ClearWater, написана на C++ с использованием библиотеки libsodium. Она шифрует файлы алгоритмом ChaCha20, а ключ шифрует RSA-2048. Зашифрованным файлам присваивается расширение .clear. Вымогатель удаляет теневые копии томов, отключает восстановление системы и меняет обои рабочего стола. Интересно, что в коде есть неиспользуемая функция для завершения всех процессов, кроме заранее заданного белого списка.

Вторая - обновлённая версия Blackout Locker, ранее описанная "Лабораторией Касперского" в русскоязычном отчёте. Её нововведение - модуль блокировки экрана. Вредоносная программа создаёт файл README.txt с текстом требования, а затем устанавливает блокировщик в автозагрузку через ярлыки в папке Startup. Даже если жертва введёт верный пароль, окно блокировки появляется снова, так как соответствующая задача не удаляется. Текст требования может быть на английском или русском языке; при неподдерживаемой кодировке отображаются кракозябры.

География атак расширяется, а мотивы смещаются от политических к финансовым. Использование программ-вымогателей и коммерческих инструментов удалённого управления указывает на то, что хактивисты стремятся получить выгоду. Это повышает риски для организаций за пределами традиционного фокуса групп. Для защиты необходимо отслеживать новые тактики злоумышленников, а также внедрять системы мониторинга, способные выявлять как вредоносное ПО, так и подозрительные действия легитимных утилит.

Индикаторы компрометации

IPv4

  • 130.49.155.112
  • 138.226.236.52
  • 185.221.153.121
  • 212.46.12.182
  • 45.112.194.82
  • 45.150.109.2
  • 77.72.85.62
  • 85.137.253.186

MD5

  • 008cd423ca45134d3343f66cced1d104
  • 02493e1cb684be6a1a1fc6334a56c516
  • 038cab0c60c53cf12f048272014024c0
  • 06bed0a0906e52c764b3b7016d6a4428
  • 08c069f133ac27cbc02a0ed79e4e87ba
  • 08f3a14a2337eb9936c38f5159be007c
  • 09d0517a1f69feff8186655ae3b567e0
  • 0b1870d57221eec6f3bbef648e71a724
  • 0c32bfdf83ecebe3a1399d261dc8ff57
  • 10824d14c814524155f2b529cf5fee43
  • 129225b3e93c17f131bcc2a982ffb09a
  • 1344e6bc51cea35befb4adff7a25899b
  • 1742a9fa35e253614b76ac0f687ba02e
  • 18618f4b468ba4e64c2e1072a6da2134
  • 1bd1ca848b15530e39792b4fe6f31367
  • 1c0924f5711a24821921de5ad822213b
  • 1c82a94c362a9e98a66ae57d6ff37900
  • 1d09499cb2d7d70df903b60602a58887
  • 1e1edf879b2dc6c9892a22bfa5985db1
  • 1ff222457f5e0e32adfa8341f260dde7
  • 242038139842ec79ec1044c64eb0804a
  • 26100db3f56880110a92a2b4742d6eaf
  • 2a09162d72aa416e18bab46070043a13
  • 2d5533fb65ebb50a5a5fd53e62d73b9a
  • 2db94ee3ec69988588702bd77999a5d4
  • 2f40bcee90abed0898e92521da17e52d
  • 3137958eb830186826d486afd9222aee
  • 334abbdc99d359aab2ea371dd4eda5f2
  • 36b3be503c6e34613ff50cb28e0f3ddb
  • 389a1bbdbf5c91bd1c179227f5ae0923
  • 3a9b0875fc692944c180b165a83a0d17
  • 3b974ff986445e5944c51179d19bd6be
  • 3d9cbc944f9a9e127550ffb4e8394965
  • 3ee38b944e5c83922f99641846f7db0c
  • 3f4fbba101b209b00e70787fd5bab819
  • 4c8a0531653b5398a35c6b1b80ff1350
  • 4f41a22b3e7469fb6b45a42d71ec7087
  • 5398b7eaa94f0ee570b1c5642b559047
  • 53ba13cc6066adfd67f8098c0a5b8dde
  • 54a308f734095d54ae0e1c86c849a2d8
  • 555a6722436d7cf7de396e0c57d32a27
  • 56be07e46fd452315008ed246ebbf52b
  • 56d1de3159adbfda20aca593c99901f9
  • 579e8bbd6a5bcca89b5acd6fb5db32db
  • 5e81f72614db42615489266be11b1d09
  • 60f8b115aec8a13b0069efc84fc645f5
  • 61647db645f7cc221046999ef1dbe1d1
  • 62123c39477389d500e74e82782adea5
  • 663a479d6d24c767f1d3229a0a91554b
  • 68e310de44c3165ffffa25bc495d6fc5
  • 6cf548445c39aff844be96d73c89e376
  • 6d19c8eea11d50c01d20f18382a964d1
  • 6d365de5c5a13006b7cadd6bc6876e84
  • 6dfef58ef68fb7965a23da8be3141af9
  • 717ab7624c192f6f8dd38994116c28dc
  • 76c819185e3c8b8557a2c3986ab80a7c
  • 78250fa890220821e2b91e31b965de59
  • 7d35b4961914ad83a57f8832d8e870d8
  • 7da855b2fd9b52f9088e64d656164637
  • 80e5bde401d6b0ca96015ae9cfeb6535
  • 83f66862c0cc40da20236fd6b47138fd
  • 841b7d3863b49f62d4faa9949ff5df38
  • 84bb66a982710c5536143a07d84e8749
  • 87d48fbccb4aaee95222e215ecb7ebec
  • 8db0adf8fd6dc6195d7ae55e37e49f97
  • 911a21aa999c324dc960d3498eec528e
  • 96dbdc2651d829bf9ba35674dd4bfcae
  • 9741672506f26813c71839aaa6aa3882
  • 9810ea6752112b3569ddc096e1a72e1d
  • 9f37fff7e5d22f83fc1c0872ad5332f9
  • a36082c998391a3ebaf05ba4f834172c
  • a3dba01c76571adc0797801ff30f2b90
  • b36968b98046d1b033d84f292e7ca1cb
  • b8a13e808b5b5f1836d3e559755139d0
  • b974141ff9ad1efb60dd9e16977266ca
  • bc0ebf67986eea803b4c9633ed3a4bb5
  • bcd3859f4ddd72c4690d76c3b4ef8955
  • c12ebe625737ed0908b045e811f14ecd
  • c183033d86d2e052b8eb0deb2136ab29
  • c558e6a9d0a697c757aa6d7782e269c9
  • c7eb6da3aa216816079a1b785097552a
  • cd0c5b9e4e47df4231d02ed87ff49f26
  • cf54f6cbdb4dbf1ce6fc2e5be4ca3b20
  • cf682a6fee80a78be578b1edd82627fa
  • d08056c2ac28933d6843658c2c8c574f
  • d13997b1716e4c82ab454285202eafdc
  • d1c51b92939aa168f0951a8368841373
  • d65a79ea9257637c77cab6e087468912
  • d74262f968dc3f378c4021a89d16a292
  • d78adab5e16c26d4cd14fe38f77e29e6
  • d8ff7f417d56fa2a3baf3c8933013a25
  • da55b5612a80ef20ec75b68151e7ff4b
  • dd8fea244afc8223b961f1d9d6ac8c5d
  • e14cc9a959bbe16c48b8dff063b311f3
  • e99efd77392e2b4fe4d9bf5728a12b98
  • ecb57d8793514aa02314417265b1853f
  • ede8ce887dd9ab7add0f0fc872d51369
  • f2af797ac45b9f578c53cc49e5797397
  • f2dc794bf93887e281ad89209493065a
  • f88d2b5c3b885ad5a9c1c44551bccc60
  • fa04aeedc0d2f5bb6ed357fdae1c1435
  • fa3c222f6b53d6a2e35a54600f6aa011
  • fe04d230db612ea24af3826fda667131

Комментарии: 0