Массовые ложные срабатывания Defender указали на кражу доверенных сертификатов DigiCert и связь с APT-Q-27

К концу дня Microsoft подтвердила: все эти срабатывания ложные. Причина - инцидент в удостоверяющем центре DigiCert. Многие компании просто закрыли инциденты и убрали лишний шум. Но для аналитиков компании Security Joes этот ответ решил только один вопрос - об активной компрометации. Он не объяснял, почему вообще сработали сигналы на артефакты, связанные с доверенными сертификатами.

Этот пробел и стал отправной точкой для расследования. Как выяснилось, атака на DigiCert началась с типичной схемы социальной инженерии. Злоумышленник связался со службой поддержки через чат и отправил ZIP-архив под видом скриншота от клиента. Внутри находился исполняемый файл .scr. Несколько попыток доставки заблокировались, но одна в итоге скомпрометировала рабочую станцию сотрудника техподдержки. Как позже сообщила сама DigiCert, на машине был установлен CrowdStrike Falcon, но в тот момент агент работал некорректно. Этот операционный разрыв превратил "у нас стоит EDR" в опасное заблуждение.

Скомпрометировав машину, атакующий получил доступ к внутреннему порталу поддержки DigiCert. Для этого не потребовалось напрямую взламывать инфраструктуру подписания сертификатов. Злоумышленник просто использовал функционал поддержки, который позволял просматривать коды инициализации для уже одобренных заказов EV-сертификатов (сертификатов расширенной проверки). В результате были выпущены шестьдесят валидных кодовых сертификатов. Отчёт Security Joes подробно описывает, как эти сертификаты затем применялись для подписи вредоносных файлов.

Подпись доверенным сертификатом кардинально меняет правила игры. Вредоносная программа, подписанная таким образом, обходит проверки репутации издателя в SmartScreen и в системах EDR. Файл попадает на диск, и только потом срабатывает антивирусная проверка на основе сигнатур. В данном случае сами вредоносные бинарные файлы не новы - средний уровень детектов составляет 39 из примерно 60 антивирусных движков. Но проблема в том, что сертификат даёт зловреду первый, самый критический этап: закрепление в системе до того, как механизмы защиты успевают среагировать.

Аналитики Security Joes изучили публично доступные образцы, связанные с украденными сертификатами. Всего было найдено 38 уникальных файлов, и 17 из них (45%) имели размер от 600 до 700 килобайт. Причём 13 из этих 17 укладывались в диапазон 665-676 килобайт - это не случайность, а единый скомпилированный артефакт, который подписывали разными неправомерно выпущенными сертификатами. Среди образцов выделяются три типа: загрузчик малого размера, основной исполняемый модуль и крупный инсталлятор.

Загрузчик, названный java.exe, при запуске обращался к конфигурационному URL, закодированному двойным base64. Адрес вёл на ресурс в Google Cloud Storage. Хотя на момент анализа файл был недоступен, его содержимое удалось восстановить через VirusTotal. Далее следует цепочка с использованием легитимного бинарного файла Nvidia (nvbackend.exe) для подгрузки вредоносной DLL detoured.dll. Эта DLL расшифровывает содержимое файла nvbackend.log и внедряет шелл-код в память. Шелл-код, в свою очередь, упакован UPX, распаковывается и предоставляет возможности для перечисления процессов и выполнения команд с повышением до уровня администратора. Конечная полезная нагрузка связана с доменом командно-контролирующего сервера (C2), который уже фигурировал в отчётах о группировке APT-Q-27.

APT-Q-27, также известная как GoldenEyeDog или Dragon Breath, - это китайскоязычная угроза с финансовой мотивацией и элементами шпионажа. Группа последовательно эксплуатирует доверительные отношения, а не шумные уязвимости. Её типичные приёмы: поддельные сайты загрузки программ, отравление поисковой выдачи (SEO poisoning), заражённые установщики, загрузка DLL (DLL sideloading) и, конечно, злоупотребление сертификатами. В арсенале группы - стилеры (Zhong Stealer, Silver Fox), бэкдоры (Winos4.0) и импланты на основе Gh0st RAT. Ранее группа нацеливалась на китайскоязычных пользователей, игровые и криптовалютные сообщества, а также на службы поддержки клиентов - что прямо перекликается с методом атаки на DigiCert.

Инцидент с массовыми ложными срабатываниями Defender стал лишь верхушкой айсберга. Он вскрыл гораздо более глубокую проблему: доверие к сертификатам можно скомпрометировать, даже не взламывая основную инфраструктуру удостоверяющего центра. Атака на DigiCert показала, что атакующие всё чаще нацеливаются на вспомогательные рабочие процессы - каналы поддержки, внутренние порталы, которые оказываются слабым звеном в цепочке доверия. Для защиты специалистам по ИБ стоит не просто полагаться на блокировку известных вредоносных сигнатур, но и внимательно отслеживать выдачу и отзыв сертификатов, а также уделять первостепенное внимание безопасности рабочих станций сотрудников службы поддержки. Только комплексный подход способен нейтрализовать угрозы, которые используют само доверие как инструмент атаки.

Domains

• uu.goldyeuu.io

URLs

• https://storage.googleapis.com/nvbackend/nv.txt

SHA256

• 36d22778dda953d192e7fd910faab2f4012421efbb35360ec7fe3e1c5109f1aa
• 80b6790557199ce089982634cd6b03dbb9423f2fb0c3f16584b4f066934b9108