Пограничные средства удаленного доступа стали мишенью для атак с использованием легитимного ПО

Net Monitor for Employees Professional разработан компанией NetworkLookout и позиционируется как инструмент для контроля продуктивности сотрудников. Однако его функционал выходит далеко за рамки пассивного наблюдения. Программа позволяет устанавливать обратные соединения, управлять рабочим столом удаленно, выполнять команды через встроенный псевдотерминал (winpty-agent.exe) и маскировать свои процессы под системные службы. Именно эти возможности привлекли злоумышленников, стремящихся оставаться незамеченными в корпоративных сетях.

Во время первой атаки в конце января специалисты Huntress обнаружили подозрительную активность, связанную с манипуляциями с учетными записями на одном из хостов. Расследование показало, что источником активности было легитимное ПО для удаленного мониторинга. Аналитики выявили исполнение множества сетевых команд (net commands) для перечисления пользователей, сброса паролей и создания новых учетных записей, включая попытку активации встроенной учетной записи администратора. Дальнейший анализ процесса выявил, что исполняемый файл winpty-agent.exe был запущен из бинарного файла lsa.exe, относящегося к Net Monitor for Employees.

Через терминал этого инструмента злоумышленник загрузил с IP-адреса 160.191.182[.]41 файл с именем vhost.exe с помощью PowerShell. Этот файл оказался клиентом платформы SimpleHelp, настроенным на подключение к серверу 192.144.34[.]42. Используя этот канал, злоумышленник предпринял попытки отключить защитные механизмы Windows Defender через редактирование реестра. В конечном итоге атака привела к попытке развертывания шифровальщика Crazy, относящегося к семейству VoidCrypt. Интересно, что на диск было сброшено несколько копий файла encrypt.exe с разными номерами, что указывает на возможные сбои при первоначальных попытках его запуска.

Вторая атака, обнаруженная в начале февраля, позволила исследователям получить больше данных о начальном этапе проникновения. Злоумышленник получил первоначальный доступ, используя скомпрометированные учетные данные вендора для SSL VPN. После подключения к контроллеру домена по протоколу RDP (Remote Desktop Protocol) атакующий запустил интерактивную сессию PowerShell для развертывания своих инструментов. Установка агента Net Monitor была проведена с помощью команды msiexec, которая загрузила установщик прямо с официального сайта networklookout[.]com. При установке были использованы параметры для маскировки: служба была зарегистрирована как OneDriveSvc, процесс назван OneDriver.exe, а запущенный бинарный файл переименован в svchost.exe. Обратное соединение было настроено на домен dronemaker[.]org и его IP-адрес 104.145.210[.]13.

Вслед за этим на тот же хост был установлен агент SimpleHelp как служба с именем Remote Access Service. Агент был настроен на подключение к пяти резервным шлюзам (gateway), включая уже упомянутый dronemaker[.]org и IP-адрес 192.144.34[.]42, что свидетельствует об использовании общей инфраструктуры в обеих атаках. Ключевой находкой во втором случае стала конфигурация агента SimpleHelp. Он был настроен на мониторинг ключевых слов через функцию GlobalEvents. Система непрерывно отслеживала появление в активности хоста терминов, связанных с криптовалютами: названия кошельков (Metamask, Exodus), бирж (Binance, Bybit), блокчейн-обозревателей (Etherscan) и платежных систем (Payoneer). Параллельно велся мониторинг упоминаний инструментов удаленного доступа, таких как RDP, AnyDesk и TeamViewer, вероятно, для обнаружения активных сессий других пользователей на скомпрометированном хосте.

Обе атаки демонстрируют согласованную тактику одного и того же субъекта угроз или группы. На это указывает повторное использование одного имени файла (vhost.exe), пересекающаяся инфраструктура командования и управления (C2), в частности домен dronemaker[.]org, и схожие методы работы. Цели атакующего выглядят двойственными: прямая кража криптовалюты через мониторинг активности и развертывание ransomware (шифровальщика) для получения выкупа.

Эти инциденты подчеркивают серьезные риски, связанные с легитимным ПО, обладающим расширенными правами. Такие инструменты, как Net Monitor for Employees Professional, при неправильном контроле или в случае компрометации могут быть использованы как полноценные трояны удаленного доступа (RAT). Их сложно отличить от нормальной административной деятельности, особенно при использовании маскировки. Для защиты эксперты рекомендуют компаниям ужесточить контроль за периметром сети. Необходимо повсеместно применять многофакторную аутентификацию (MFA) для всех сервисов удаленного доступа, включая VPN и RDP. Также критически важно проводить регулярный аудит стороннего программного обеспечения с удаленными возможностями, ограничивать права на установку софта и внимательно отслеживать попытки маскировки процессов или отключения систем защиты.

IPv4

• 104.145.210.13
• 160.191.182.41
• 192.144.34.35
• 192.144.34.42

Domains

• dronemaker.org
• microuptime.com
• telesupportgroup.com

SHA256

• 0b7801af15b6d13b242e8ec53e365b42e2b37edc0fd3e182c94b7d64814d0993
• 0d332b4f5dc9c98097ccbda31847b85c1780c1a02764db3adcbaf67158fbffd0
• aadf879d5a37de295e6a331aaa38fd138c50317761d6bb97f91d2f354790434e
• b21f3a77031bccc6f7feb03916a6734e6823328786f993457503c5960b67922b