Главная страница » Индикаторы компрометации
0
2 года
Индикаторы компрометации

Особенности деструктивных кибератак в отношении украинских провайдеров

security

По данным публичных источников за период с 11.05.2023 по 27.09.2023 организованной группой злоумышленников осуществлено вмешательство в информационно-коммуникационные системы (ИКС) не менее 11 провайдеров телекоммуникаций Украины, что, среди прочего, привело к перебоям в предоставлении услуг потребителям.

CERT-UA в взаимодействии со специалистами одного из провайдеров приняты меры по исследованию инцидента, благодаря чему установлены обстоятельства кибератак, выяснены характерные тактики, техники и процедуры злоумышленников, а также раскрыт злонамеренный замысел по реализации киберугроз на ряде аналогичных предприятий.

Техническая информация

Ппервым этапом кибератаки является разведка, которая начинается с "грубого" сканирования подсетей (автономной системы) провайдера по типичному набору сетевых портов с применением, в частности, masscan.

В случае идентификации интерфейсов управления (например, SSH, RDP), при условии не ограничения доступа к последним, инициируется подбор аутентификационных данных. В случае выявления признаков уязвимостей осуществляется их эксплуатация. Публично доступные сервисы (веб-приложения), такие как биллинг, личный кабинет пользователя, хостинговые серверы (и веб-сайты) и т.д., анализируются с помощью специализированных программ, в том числе: ffuf, dirbuster, gowitness, nmap и тому подобное.

Заметим (!), что активность по разведке и эксплуатации проводится с заранее скомпрометированных серверов, размещенных, в частности, в украинском сегменте сети Интернет. Для маршрутизации трафика через такие узлы применяются прокси-серверы dante, socks5 и другие.

Детальный анализ серверов, используемых в качестве плацдарма для проведения кибератак, позволил подтвердить факт их заблаговременной компрометации. Кроме того, установлены дополнительные признаки такой компрометации.

  1. Злоумышленники устанавливают вредоносный PAM-модуль (отслеживается как POEMGATE), который предоставляет возможность аутентифицироваться со статически определенным паролем и сохраняет введенные при аутентификации логины и пароли в файл в XOR-кодированном виде. Такие бэкдоры устанавливаются заранее и, с течением времени, позволяют получить актуальные аутентификационные данные администраторов, которые, в свою очередь, довольно часто используются для доступа к другому серверному и сетевому оборудованию.
  2. С целью обхода настроек, связанных с ограничением возможности использования командной оболочки (shell), оригинальные файлы "/bin/false", "/bin/nologin" заменяются на "bash".
  3. Удаление признаков несанкционированного доступа достигается, среди прочего, запуском утилиты WHITECAT.
  4. Дополнительно на сервер может устанавливаться вариант программы POSEIDON ("/lib/x86_64-linux-gnu/libs.so"), функционал которой содержит полный спектр средств удалённого управления ЭВМ. При этом, персистентность POSEIDON обеспечивается путём подмены (модификации) легитимного бинарного файла "/usr/sbin/cron", в структуру которого добавляется программный код, создающий поток с аргументом (start_routine) в виде функции "RunMain", которая импортируется из "libc.so"

В случае предоставления провайдером услуг хостинга, после компрометации вебсайта на вебсервер может загружаться бэкдор Weevely. Если сервер находится в пределах ИКС провайдера (и имеет "внутренние" интерфейсы), он может быть использован для развития атаки на другие элементы DMZ и/или локальной вычислительной сети.

Кроме специализированных программ, персистентный несанкционированный доступ к инфраструктуре провайдера реализуется с помощью штатных учетных записей VPN (указанному способствует отсутствие многофакторной аутентификации на основе одноразового кода из приложения). Очевидным признаком компрометации VPN является подключение с IP-адресов сети TOR и сервисов VPN, в том числе "классифицируемых" как украинские.

После проникновения в ИКС основные усилия сосредотачиваются на идентификации так называемых джамп-хостов и компьютеров системных администраторов. Если дальнейшее горизонтальное перемещение невозможно списками контроля доступа сетевого оборудования, злоумышленники могут вносить изменения в их настройки.

На заключительном этапе кибератаки осуществляется вывод из строя активного сетевого и серверного оборудования, а также систем хранения данных. Указанному способствует использование одинаковых паролей и не ограниченный доступ к интерфейсам управления этим оборудованием. Кроме того, отсутствие резервных копий актуальных конфигураций негативно влияет на возможность оперативного восстановления работоспособности.

Indicators of Compromise

IPv4

  • 103.251.167.20
  • 103.251.167.21
  • 104.244.72.8
  • 107.189.30.69
  • 139.99.237.205
  • 146.59.233.33
  • 146.59.35.246
  • 156.146.63.139
  • 158.118.218.193
  • 162.247.73.192
  • 162.247.74.201
  • 162.247.74.206
  • 162.247.74.216
  • 162.247.74.27
  • 162.247.74.74
  • 167.86.94.107
  • 171.25.193.20
  • 171.25.193.235
  • 171.25.193.25
  • 171.25.193.77
  • 171.25.193.78
  • 179.43.159.195
  • 179.43.159.198
  • 182.118.218.193
  • 185.100.86.121
  • 185.100.87.41
  • 185.129.61.129
  • 185.129.61.7
  • 185.129.62.62
  • 185.130.47.58
  • 185.14.28.207
  • 185.165.169.239
  • 185.220.101.152
  • 185.220.102.240
  • 185.220.102.241
  • 185.220.102.242
  • 185.220.102.247
  • 185.220.102.251
  • 185.220.102.252
  • 185.220.102.253
  • 185.220.102.254
  • 185.220.102.8
  • 185.220.103.8
  • 185.233.100.23
  • 185.235.146.29
  • 185.241.208.206
  • 185.241.208.232
  • 185.246.188.60
  • 185.246.188.67
  • 185.246.188.74
  • 185.254.75.55
  • 185.34.33.2
  • 185.56.83.83
  • 185.67.82.114
  • 192.42.116.13
  • 192.42.116.16
  • 192.42.116.18
  • 192.42.116.23
  • 192.42.116.25
  • 193.218.118.158
  • 193.218.118.182
  • 195.69.202.145
  • 2.56.164.52
  • 2.58.56.101
  • 203.28.246.189
  • 204.28.48.77
  • 204.8.156.142
  • 217.12.208.73
  • 23.129.64.133
  • 45.139.122.241
  • 45.141.215.111
  • 45.154.98.225
  • 46.182.21.248
  • 5.181.80.132
  • 5.252.118.19
  • 5.255.99.205
  • 5.45.73.243
  • 51.89.153.112
  • 62.102.148.68
  • 62.182.84.146
  • 77.48.28.204
  • 77.48.28.236
  • 79.137.194.146
  • 80.67.167.81
  • 82.221.128.191
  • 84.239.46.144
  • 89.147.111.106
  • 89.248.165.181
  • 91.208.75.153
  • 91.208.75.3
  • 91.224.92.110
  • 94.102.51.15
  • 95.214.234.139
  • 95.214.55.43

Domains

  • eurotelle.com

MD5

  • 20a07ba71cab0f92c566b31e96fdf0e8
  • 2b88885fb57e28497522238bd8f8befc
  • 302f158ca6f6094e90bd43f7748dd65f
  • 45fad72d370ff88c5b349cb741cc26ce
  • 59f2c3f6e4baf721c02a66179147241a
  • 5d9a661f35d4e136d389bea878c4252f
  • 61b70767326387f141a18e2fbb250a68
  • 75cde685cd3f00f354155e3c433698c7
  • a74dbcae530f52f62cbdcef3dc18feee

SHA256

  • 0e24a1268212a790bc3993750f194ac1e0996a6770b32b498341f06abac45d81
  • 65c880f2a3833898c54d7f48ee0709a13887376b2ea5bc933b2e70f29614e728
  • 8ddd681dd834ab66f6a1c00ba2830717bf845de5639708eb8e8ab795ffd1df5a
  • 8fb3ed6261a2358e0890bfd544e515af232f87d3aef947e09f640da7cc1b89d9
  • 9060ca8e829fc136d1ecd95a5204abb48f3ce5b7339619c5668c7e176dcbb235
  • b5ec1d43462a770d207eefb906516631e4d80eea55779509616b58b39a764455
  • e4cff7071e184e3f1bfedfe30afa52ddd2cac1a00983508d142e51ecebfcba14
  • e9c5dc9cec95f31cea2eb88cc26a35d29c5f89f23bff6a7cfa1250dec6d5701a
  • eb01925836eed1dbd85a8ab9aa05c5c45dc051abaae9e67db3a53489d776b6c2

 

Комментарии: 0
Похожие записи
0
18.04.2024
Индикаторы компрометации

UAC-0184 APT IOCs

security
CERT-UA в течение 2024 года фиксирует повышенная активность группировки UAC-0184, целью которой является получение доступа к компьютерам представителей Сил обороны Украины с целью похищения документов и данных мессенджеров.
0
12.08.2022
Индикаторы компрометации

Armageddon APT IOCs - Part 3

security
CERT-UA отслеживается активность группы Armageddon. В течение первого полугодия 2022 года основным способом реализации злонамеренного замысла является распространение средствами электронной почты (со скомпрометированных