В последние дни была зафиксирована сложная кибератака на правительственную инфраструктуру одного из государств Юго-Восточной Азии. Злоумышленники использовали веб-оболочку (web shell), замаскированную под стандартную страницу ошибки 404, чтобы получить контроль над сервером SharePoint. Анализ телеметрии показал, что атака проводилась с применением утилиты certutil, которая использовалась для загрузки вредоносной нагрузки в формате ASPX. Кроме того, злоумышленники активно применяли различные варианты инструментов Potato, включая модули, работающие исключительно в оперативной памяти, что значительно усложнило их обнаружение.
Описание
Веб-оболочки уже давно являются излюбленным инструментом хакеров из-за их универсальности и способности обеспечивать удаленное выполнение команд. Однако в данном случае злоумышленники использовали усовершенствованную версию, которая поддерживала зашифрованную передачу данных и могла выполнять модули прямо в памяти, избегая записи на диск. Это делает атаку более скрытной и устойчивой к традиционным методам защиты.
Эксперты Kaspersky Lab, проанализировавшие телеметрию, установили, что атака началась с эксплуатации уязвимости на веб-сервере. Вредоносная веб-оболочка была загружена с использованием утилиты certutil, а также через сервис Bashupload, что позволило злоумышленникам обойти базовые механизмы защиты. После закрепления на сервере атакующие провели разведку, в ходе которой получили системные привилегии. Именно на этом этапе были задействованы инструменты Potato, включая как исполняемые файлы, так и модули, работающие исключительно в памяти.
Аналитики отмечают, что, несмотря на известность подобных методов, атака оказалась успешной благодаря высокой адаптивности и модульности используемых инструментов. Веб-оболочка была тщательно замаскирована, а применение техник "живучести" (living-off-the-land) позволило злоумышленникам избежать обнаружения на ранних этапах.
Эта атака в очередной раз демонстрирует, что даже хорошо защищенные правительственные системы могут стать жертвами целевых кибератак, если злоумышленники используют сложные и многоэтапные методы проникновения. Эксперты рекомендуют организациям усилить мониторинг подозрительной активности, особенно связанной с использованием системных утилит в нестандартных сценариях, а также регулярно обновлять программное обеспечение, чтобы минимизировать риски эксплуатации известных уязвимостей.
Кроме того, важно внедрять решения, способные обнаруживать аномальное поведение процессов в памяти, поскольку традиционные антивирусные системы могут не справляться с подобными угрозами. Учитывая растущую сложность кибератак, только комплексный подход к безопасности позволит эффективно противостоять современным угрозам.
Индикаторы компрометации
MD5
- 578a303d8a858c3265de429db9f17695
- 5ea7f17e75d43474b9dfcd067ff85216
- b5755be4aad8d8fe1bd0e6ac5728067b
- b8a468615e0b0072d2f32e44a7c9a62f
- cd56a5a7835b71df463ec416259e6f8f
- ea19d6845b6fc02566468ff5f838bff1
- ef153e1e216c80be3fdd520dd92526f4
