Хактивистские группировки, традиционно нацеленные на российские и белорусские организации, начали атаковать компании в Казахстане, ОАЭ, Сирии и Египте. Исследователи "Лаборатории Касперского" обнаружили, что арсенал злоумышленников пополнился новыми версиями программ-вымогателей, а также недокументированным бэкдором. В основе атак лежит эксплуатация уязвимости в Microsoft Exchange и широкое применение легитимных инструментов удалённого управления.
Описание
В центре внимания оказалась группировка 4BID, действующая вместе со смежными группами Hakerskii Kit, С.А.S. и Goffee. Ранее их жертвами становились в основном российские и белорусские организации. Однако последние наблюдения показывают, что география расширилась. Исследователи зафиксировали заражения в инфраструктуре авиакомпании из Казахстана, больницы в Египте, а также организаций из ОАЭ и Сирии. По данным экспертов, злоумышленники сами признали, что атаковать Россию стало невыгодно.
Технический анализ показал, что в большинстве случаев начальное проникновение происходит через уязвимость ProxyShell в Microsoft Exchange. Она позволяет полностью скомпрометировать сервер. После этого злоумышленники размещают веб-шелл под названием fd.aspx - модульное приложение для удалённого управления файлами и сбора данных. Оно проверяет ключ доступа в запросе и при успехе выполняет команды через PowerShell или cmd.exe. Веб-шелл также умеет передавать файлы в обе стороны, используя кодировку Base64, и собирает информацию о системе: версию ОС, имя хоста, имя пользователя, данные о дисках и процессах.
Отчёт "Лаборатории Касперского" описывает, что сразу после закрепления на сервере атакующие запускают скрипты на украинском языке. Некоторые из них, судя по коду, сгенерированы нейросетями и содержат ошибки. Скрипты развёртывают легитимные утилиты удалённого мониторинга и управления (RMM): AnyDesk, Panorama9, Microsoft Dev Tunnels. Эти программы маскируются под штатные службы Windows, например, переименовываются в "Windows Update Helper". Отдельный скрипт создаёт скрытую учётную запись локального пользователя, добавляет её во все группы, настраивает RDP и открывает порт 3389. После завершения всех действий скрипты очищают журналы событий, временные файлы и удаляют сами себя.
Помимо легитимного ПО, злоумышленники используют постэксплуатационные фреймворки. Среди них - Sliver, Havoc, Apollo Mythic и Adaptix. Например, Sliver загружается через самодельный загрузчик backupagnt.exe, который инжектирует полезную нагрузку в память процесса. Все экземпляры Sliver связывались с командным сервером по адресу 185.221.153.121. Ещё один обнаруженный фреймворк - AdaptixC2 с беконом типа BEACON_HTTP, который умеет выполнять команды, работать с файлами, перенаправлять трафик через SOCKS и загружать модули BOF. Конфигурация агента зашифрована алгоритмом RC4.
Особого внимания заслуживает ранее неизвестный бэкдор BlackSalt. Он написан на VBS и представляет собой классическую обратную оболочку. Бэкдор подключается к серверу управления 45.150.109.2, получает команды и исполняет их через cmd.exe. Установка происходит через самораспаковывающийся архив с помощью легитимной утилиты WinSW.
Для нейтрализации антивирусных решений хактивисты применяют EDR-киллеры - программы, останавливающие процессы защиты. Они используют технику BYOVD (принеси свою уязвимую утилиту). Один из инструментов - модифицированная версия проекта GhostDriver, который загружает в ядро уязвимый драйвер RentDrv2 (CVE-2023-44976) и через него завершает процессы безопасности. В списке целей - десятки процессов, включая MsMpEng.exe (Microsoft Defender), avp.exe ("Лаборатория Касперского"), Sysmon, Elastic Agent и другие. Впрочем, разработчики заявляют, что их продукты устойчивы к таким атакам.
В ходе кампаний обнаружены две новые программы-вымогатели. Первая - ClearWater, написана на C++ с использованием библиотеки libsodium. Она шифрует файлы алгоритмом ChaCha20, а ключ шифрует RSA-2048. Зашифрованным файлам присваивается расширение .clear. Вымогатель удаляет теневые копии томов, отключает восстановление системы и меняет обои рабочего стола. Интересно, что в коде есть неиспользуемая функция для завершения всех процессов, кроме заранее заданного белого списка.
Вторая - обновлённая версия Blackout Locker, ранее описанная "Лабораторией Касперского" в русскоязычном отчёте. Её нововведение - модуль блокировки экрана. Вредоносная программа создаёт файл README.txt с текстом требования, а затем устанавливает блокировщик в автозагрузку через ярлыки в папке Startup. Даже если жертва введёт верный пароль, окно блокировки появляется снова, так как соответствующая задача не удаляется. Текст требования может быть на английском или русском языке; при неподдерживаемой кодировке отображаются кракозябры.
География атак расширяется, а мотивы смещаются от политических к финансовым. Использование программ-вымогателей и коммерческих инструментов удалённого управления указывает на то, что хактивисты стремятся получить выгоду. Это повышает риски для организаций за пределами традиционного фокуса групп. Для защиты необходимо отслеживать новые тактики злоумышленников, а также внедрять системы мониторинга, способные выявлять как вредоносное ПО, так и подозрительные действия легитимных утилит.
Индикаторы компрометации
IPv4
- 130.49.155.112
- 138.226.236.52
- 185.221.153.121
- 212.46.12.182
- 45.112.194.82
- 45.150.109.2
- 77.72.85.62
- 85.137.253.186
MD5
- 008cd423ca45134d3343f66cced1d104
- 02493e1cb684be6a1a1fc6334a56c516
- 038cab0c60c53cf12f048272014024c0
- 06bed0a0906e52c764b3b7016d6a4428
- 08c069f133ac27cbc02a0ed79e4e87ba
- 08f3a14a2337eb9936c38f5159be007c
- 09d0517a1f69feff8186655ae3b567e0
- 0b1870d57221eec6f3bbef648e71a724
- 0c32bfdf83ecebe3a1399d261dc8ff57
- 10824d14c814524155f2b529cf5fee43
- 129225b3e93c17f131bcc2a982ffb09a
- 1344e6bc51cea35befb4adff7a25899b
- 1742a9fa35e253614b76ac0f687ba02e
- 18618f4b468ba4e64c2e1072a6da2134
- 1bd1ca848b15530e39792b4fe6f31367
- 1c0924f5711a24821921de5ad822213b
- 1c82a94c362a9e98a66ae57d6ff37900
- 1d09499cb2d7d70df903b60602a58887
- 1e1edf879b2dc6c9892a22bfa5985db1
- 1ff222457f5e0e32adfa8341f260dde7
- 242038139842ec79ec1044c64eb0804a
- 26100db3f56880110a92a2b4742d6eaf
- 2a09162d72aa416e18bab46070043a13
- 2d5533fb65ebb50a5a5fd53e62d73b9a
- 2db94ee3ec69988588702bd77999a5d4
- 2f40bcee90abed0898e92521da17e52d
- 3137958eb830186826d486afd9222aee
- 334abbdc99d359aab2ea371dd4eda5f2
- 36b3be503c6e34613ff50cb28e0f3ddb
- 389a1bbdbf5c91bd1c179227f5ae0923
- 3a9b0875fc692944c180b165a83a0d17
- 3b974ff986445e5944c51179d19bd6be
- 3d9cbc944f9a9e127550ffb4e8394965
- 3ee38b944e5c83922f99641846f7db0c
- 3f4fbba101b209b00e70787fd5bab819
- 4c8a0531653b5398a35c6b1b80ff1350
- 4f41a22b3e7469fb6b45a42d71ec7087
- 5398b7eaa94f0ee570b1c5642b559047
- 53ba13cc6066adfd67f8098c0a5b8dde
- 54a308f734095d54ae0e1c86c849a2d8
- 555a6722436d7cf7de396e0c57d32a27
- 56be07e46fd452315008ed246ebbf52b
- 56d1de3159adbfda20aca593c99901f9
- 579e8bbd6a5bcca89b5acd6fb5db32db
- 5e81f72614db42615489266be11b1d09
- 60f8b115aec8a13b0069efc84fc645f5
- 61647db645f7cc221046999ef1dbe1d1
- 62123c39477389d500e74e82782adea5
- 663a479d6d24c767f1d3229a0a91554b
- 68e310de44c3165ffffa25bc495d6fc5
- 6cf548445c39aff844be96d73c89e376
- 6d19c8eea11d50c01d20f18382a964d1
- 6d365de5c5a13006b7cadd6bc6876e84
- 6dfef58ef68fb7965a23da8be3141af9
- 717ab7624c192f6f8dd38994116c28dc
- 76c819185e3c8b8557a2c3986ab80a7c
- 78250fa890220821e2b91e31b965de59
- 7d35b4961914ad83a57f8832d8e870d8
- 7da855b2fd9b52f9088e64d656164637
- 80e5bde401d6b0ca96015ae9cfeb6535
- 83f66862c0cc40da20236fd6b47138fd
- 841b7d3863b49f62d4faa9949ff5df38
- 84bb66a982710c5536143a07d84e8749
- 87d48fbccb4aaee95222e215ecb7ebec
- 8db0adf8fd6dc6195d7ae55e37e49f97
- 911a21aa999c324dc960d3498eec528e
- 96dbdc2651d829bf9ba35674dd4bfcae
- 9741672506f26813c71839aaa6aa3882
- 9810ea6752112b3569ddc096e1a72e1d
- 9f37fff7e5d22f83fc1c0872ad5332f9
- a36082c998391a3ebaf05ba4f834172c
- a3dba01c76571adc0797801ff30f2b90
- b36968b98046d1b033d84f292e7ca1cb
- b8a13e808b5b5f1836d3e559755139d0
- b974141ff9ad1efb60dd9e16977266ca
- bc0ebf67986eea803b4c9633ed3a4bb5
- bcd3859f4ddd72c4690d76c3b4ef8955
- c12ebe625737ed0908b045e811f14ecd
- c183033d86d2e052b8eb0deb2136ab29
- c558e6a9d0a697c757aa6d7782e269c9
- c7eb6da3aa216816079a1b785097552a
- cd0c5b9e4e47df4231d02ed87ff49f26
- cf54f6cbdb4dbf1ce6fc2e5be4ca3b20
- cf682a6fee80a78be578b1edd82627fa
- d08056c2ac28933d6843658c2c8c574f
- d13997b1716e4c82ab454285202eafdc
- d1c51b92939aa168f0951a8368841373
- d65a79ea9257637c77cab6e087468912
- d74262f968dc3f378c4021a89d16a292
- d78adab5e16c26d4cd14fe38f77e29e6
- d8ff7f417d56fa2a3baf3c8933013a25
- da55b5612a80ef20ec75b68151e7ff4b
- dd8fea244afc8223b961f1d9d6ac8c5d
- e14cc9a959bbe16c48b8dff063b311f3
- e99efd77392e2b4fe4d9bf5728a12b98
- ecb57d8793514aa02314417265b1853f
- ede8ce887dd9ab7add0f0fc872d51369
- f2af797ac45b9f578c53cc49e5797397
- f2dc794bf93887e281ad89209493065a
- f88d2b5c3b885ad5a9c1c44551bccc60
- fa04aeedc0d2f5bb6ed357fdae1c1435
- fa3c222f6b53d6a2e35a54600f6aa011
- fe04d230db612ea24af3826fda667131