Новая волна атак Blitz Brigantine: социальная инженерия в Teams и скрытый DNS-туннель для обхода защиты

Киберпреступные группировки, специализирующиеся на программах-вымогателях, продолжают совершенствовать свои методы, чтобы оставаться незамеченными в корпоративных сетях. Активность, отслеживаемая аналитиками компании BlueVoyant, демонстрирует эволюцию тактик группировки, известной как Blitz Brigantine (также Storm-1811, STAC5777), чьи операции связывают с вымогателями Black Basta. Атака начинается с классической социальной инженерии через Microsoft Teams, но на этапе закрепления в системе и управления использует сложные методы обхода анализа, включая новую вредоносную нагрузку, скрывающую команды в DNS-трафике.

Описание

Сценарий атаки: от спама в почте до удаленного доступа

Атака, о которой сообщили исследователи BlueVoyant, следует отработанному сценарию. Злоумышленники, выдавая себя за сотрудников IT-поддержки, сначала проводят так называемую «бомбардировку электронной почты» целевого сотрудника, заполняя его почтовый ящик спамом. Затем они связываются с жертвой через Microsoft Teams, ссылаясь на «аномальную активность» в её почте, и предлагают помощь. Под предлогом устранения неполадок злоумышленники убеждают пользователя запустить встроенное в Windows приложение Quick Assist для удалённой помощи. Получив контроль над устройством, атакующие разворачивают собственный инструментарий для сохранения доступа.

Использование подписанных пакетов и подмены DLL

Во время расследования двух инцидентов аналитики обнаружили, что вредоносное ПО группировки распространяется в виде цифрово подписанных MSI-пакетов (формат установочных пакетов Windows). Часть этих пакетов размещалась на облачном хранилище Microsoft (my[.]microsoftpersonalcontent[.]com), что помогает трафику маскироваться под легитимную активность. Пакеты маскировались под обновления для Microsoft Teams и сервиса CrossDevice Service. Внутри таких пакетов, наряду с легитимными исполняемыми файлами, подписанными Microsoft, находилась вредоносная библиотека "hostfxr.dll". Этот файл, обычно являющийся компонентом .NET, был заменён зловредным аналогом, подписанным сертификатом компании MULTIMEDIOS CORDILLERANOS SRL. Данный приём, известный как DLL side-loading (подмена библиотек), позволяет запускать вредоносный код под прикрытием доверенного процесса.

Усложнённый загрузчик с защитой от анализа

Основная задача вредоносной "hostfxr.dll" - расшифровать и выполнить полезную нагрузку, скрытую в её данных. Файл содержит множество вызовов «мусорных» функций и активно использует API "CreateThread" для создания большого количества потоков. При обычном выполнении это не мешает работе, однако при анализе в отладчике такое поведение может привести к его сильному замедлению или даже аварийному завершению, что затрудняет исследование. Расшифровка полезной нагрузки происходит с использованием кастомного алгоритма, где в качестве ключа применяется строка "crossdeviceservice.exe".

Шелл-код с привязкой ко времени и проверкой окружения

Расшифрованная полезная нагрузка представляет собой шелл-код (автономный исполняемый код), который также содержит несколько слоёв защиты. Во-первых, он использует механизм мьютекса, чтобы гарантировать единственный экземпляр своей работы в системе. Во-вторых, в коде реализована временная привязка: шелл-код вычисляет «слот» на основе текущего Unix-времени с определённым периодом (около 55 часов). Если выполнение происходит вне расчётного временного окна, последующая расшифровка основной нагрузки завершается неудачей. Этот механизм, вероятно, предназначен для усложнения анализа в песочнице (изолированной среде), где системное время может быть изменено или не соответствует реальному.

Кроме того, шелл-код проверяет командную строку родительского процесса, ожидая найти в её конце специальный неразрывный пробел (U+00A0), который визуально неотличим от обычного. Этот символ становится частью криптографического ключа. Также код проверяет окружение на наличие признаков виртуальной машины (например, строки «QEMU») и модифицирует ключевой материал при их обнаружении, что также направлено на срыв анализа в песочнице. После всех проверок шелл-код генерирует ключ с помощью SHA-256 и использует его для расшифровки финальной нагрузки - бэкдора A0Backdoor - с помощью алгоритма AES в режиме CBC.

Бэкдор A0Backdoor: управление через DNS-туннель

Главная особенность новой нагрузки - это метод командования и управления. Вместо установки прямого соединения с сервером злоумышленников бэкдор использует скрытый DNS-канал, а именно запросы к записям MX. Малюар формирует DNS-запросы к публичным рекурсивным резолверам, таким как 1.1.1.1 или 8.8.8.8. Эти запросы содержат метаданные в поддоменах. Авторитетный DNS-сервер, контролируемый атакующими, в ответ отправляет MX-запись, в левой части доменного имени которой закодированы команды для бэкдора. Такой подход позволяет скрыть трафик управления среди легимитного DNS-трафика и обойти системы защиты, настроенные на обнаружение более очевидных DNS-туннелей на основе записей TXT.

Для инфраструктуры злоумышленники предпочитают не создавать новые подозрительные домены, а перерегистрировать старые, «уснувшие» доменные имена с историей. Это помогает избежать детектирования по признакам недавно зарегистрированных доменов. Использование публичных резолверов означает, что скомпрометированная конечная точка никогда не связывается напрямую с контролируемыми атакующими серверами, что усложняет её блокировку на сетевом уровне.

Атрибуция и выводы

По совокупности признаков - начальный этап атаки, методы доставки, упаковка в MSI-пакеты с подписанными DLL - данная активность с высокой степенью уверенности соотносится с группировкой Blitz Brigantine и её партнёрами по программам-вымогателям. Эволюция прослеживается в обновлении инструментария: переход на более сложный загрузчик с анти-отладочными техниками и, что важнее, внедрение скрытого DNS-канала для C2. Эти изменения указывают на целенаправленные усилия злоумышленников по интеграции в стандартную корпоративную инфраструктуру и обходу защитных механизмов, настроенных на их предыдущие схемы работы. В зоне риска остаются организации финансового сектора и здравоохранения, чьи сотрудники часто становятся целями для фишинга и социальной инженерии. Для защиты эксперты рекомендуют усилить обучение пользователей по распознаванию фишинга в корпоративных мессенджерах, строго регламентировать использование приложений для удалённого доступа, внедрять многофакторную аутентификацию и мониторинг аномальной DNS-активности, особенно нестандартных запросов MX с высокоэнтропийными поддоменами.