Группа угроз, известная под именем KongTuke, продолжает целенаправленные атаки на корпоративный сектор, используя проверенные методы наряду с новыми тактиками. Специалисты службы Managed Detection and Response в рамках платформы TrendAI Vision One зафиксировали продолжающуюся кампанию, в которой злоумышленники используют скомпрометированные сайты на WordPress и фиктивные страницы проверки CAPTCHA для доставки Python-трояна modeloRAT. Важно отметить, что атака сочетает в себе как старый метод, так и недавно описанный вектор под названием CrashFix, демонстрируя эволюцию подхода группировки при сохранении общей цели.
Описание
Инцидент важен для широкого круга организаций, поскольку исходным вектором атаки выступают легитимные, но взломанные веб-сайты. Любой сотрудник, посещающий такой ресурс в ходе рабочих или личных задач, может стать жертвой. Атака особенно опасна для корпоративных сред, так как вредоносное ПО перед активацией проверяет наличие присоединения компьютера к домену и пытается обнаружить установленные средства безопасности.
В ходе расследования инцидента аналитики TrendAI Vision One Services восстановили цепочку заражения. Жертва посетила законный, но скомпрометированный сайт на WordPress. На страницу был внедрён вредоносный JavaScript, который, в свою очередь, загружал и выполнял код с контролируемого злоумышленниками домена. Этот код, как правило, отображает пользователю поддельную страницу CAPTCHA с инструкцией скопировать и выполнить команду PowerShell для «подтверждения личности». Именно такой сценарий, согласно телеметрии, и привёл к заражению в данном случае.
Ключевой особенностью атаки является активное злоупотребление легитимными инструментами операционной системы и доверенными сервисами, что позволяет долгое время оставаться незамеченным. Первоначальная команда PowerShell копирует встроенную утилиту Windows "finger.exe" (предназначенную для получения информации о пользователях на удалённых системах) во временную папку и использует её для подключения к серверу злоумышленника. Ответ сервера, содержащий обфусцированный код, передаётся напрямую интерпретатору команд, что позволяет выполнять инструкции удалённо без записи файлов на диск.
Следующий этап включает скачивание и выполнение PowerShell-скрипта, который проводит разведку. Он проверяет наличие в системе инструментов для анализа, таких как отладчики и мониторы процессов, определяет, присоединён ли компьютер к корпоративному домену, и перечисляет установленные антивирусные продукты. Полученные данные отправляются на командный сервер. Если система является частью домена, что указывает на корпоративную среду, вредоносное ПО загружает портативную среду Python с сервиса Dropbox и исполняет в ней основной модуль трояна modeloRAT.
Исследователи обнаружили, что modeloRAT проводит глубокий сбор информации о системе: сетевые настройки, активные процессы, службы, данные о дисках и членстве в домене. Все данные структурируются в JSON для последующей передачи. Для обеспечения устойчивого присутствия в системе троянец создаёт автозагрузочную запись в реестре Windows и планировщике задач, маскируя свои действия под легитимную службу защиты программного обеспечения. Финальные полезные нагрузки тщательно обфусцированы с использованием многослойного шифрования, сжатия и выполнения скомпилированного байт-кода Python, что серьёзно затрудняет анализ.
Хотя ранее другие исследовательские группы сообщали о новом методе атаки KongTuke под названием CrashFix, где пользователей обманом заставляют установить вредоносное расширение для браузера, в данном конкретном инциденте использовался старый, но эффективный метод с фиктивной CAPTCHA. Это свидетельствует о том, что группировка не отказывается от проверенных векторов, а расширяет свой арсенал, делая угрозу более многогранной и устойчивой.
Для защиты от подобных атак организациям рекомендуется применять многоуровневый подход. Во-первых, необходимо обеспечить своевременное обновление и жёсткую настройку веб-серверов, особенно тех, что работают на популярных CMS, таких как WordPress, чтобы минимизировать риск их компрометации. Во-вторых, критически важно настроить системы класса EDR для детектирования подозрительной активности, такой как выполнение обфусцированного PowerShell, необычные цепочки процессов и аномальные сетевые соединения. Наконец, поскольку атака в конечном счёте требует действий пользователя, непрерывное обучение сотрудников кибергигиене остаётся одним из ключевых элементов защиты. Сотрудники должны чётко понимать, что легитимные сайты и службы никогда не попросят их скопировать и выполнить произвольные команды в терминале для решения каких-либо проблем. Сочетание технических мер и осведомлённости персонала значительно снижает риски, связанные с подобными изощрёнными кампаниями.
Индикаторы компрометации
URLs
- http://158.247.252.178/beacon/024a143b
- http://170.168.103.208/beacon/024a143b
- http://170.168.103.208/beacon/765885f4
- http://45.61.138.224
- https://ainttby.com/6f54.js
- https://ctpsih.com/2d5h.js
- https://foodgefy.com/6o0jk.js
- https://www.dropbox.com/sc/fi/q7Wv7uly06okwokmjshy7/1.zip
SHA256
- 7d03573b8f1dbb62cd25aecd82e790450fce4aa3f29ef07a0d02c8dd5bd29995
- 90553fc9208cd64f1f827fd07edec3c2aa0a4510471015ce44c7411898f35039
- c15f44d6abb3a2a882ffdc9b90f7bb5d1a233c0aa183eb765aa8bfba5832c8c6
