Поставщик IT-услуг стал входной точкой для атаки программ-вымогателей: анализ цепочки компрометации

Первоначальным вектором проникновения стал SSL-VPN-доступ, полученный с использованием учётной записи внешнего поставщика IT-услуг. Скорее всего, учётные данные были похищены раньше - каким именно способом, установить не удалось. Анализ журналов межсетевого экрана показал, что первый сеанс был совершён с IP-адреса 203.98.68.35, расположенного в Великобритании. Примечательно, что подключение выполнялось с машины с именем "kali", что указывает на использование дистрибутива Kali Linux - популярного инструмента для тестирования на проникновение и проведения атак.

В последующие дни SSL-VPN-подключения продолжались уже с других адресов - 5.255.97[.]222 и 206.188.196[.]231, оба из которых находились в Нидерландах. Такая смена точек входа - типичная практика: злоумышленники арендуют облачные виртуальные серверы у разных провайдеров, чтобы маскировать свою инфраструктуру. Среди подключаемых устройств фигурировали не только Kali Linux, но и Windows-машины.

После получения доступа к внутренней сети злоумышленник начал боковое перемещение. Он установил службу PSEXESVC на нескольких серверах. Как поясняется в отчёте, утилита PsExec позволяет выполнять команды на удалённых системах и широко используется для распространения контроля по инфраструктуре. Параллельно были зафиксированы сеансы удалённого рабочего стола (RDP) и сетевые входы с использованием сервисной учётной записи. Для изучения топологии сети применялся инструмент Netscan - с его помощью атакующий перебирал IP-адреса целевых машин.

На следующем этапе была предпринята попытка атаки DCSync - техники, которая позволяет имитировать поведение контроллера домена и запрашивать хеши паролей всех пользователей Active Directory. Журналы Microsoft Defender зафиксировали 46 запросов репликации, но статус детектирования остался неопределённым. Несмотря на это, злоумышленник всё же сумел получить учётные данные. Изучив историю просмотров взломанной учётной записи, аналитики обнаружили файл "out.log" в нестандартном пути C:\Windows\Temp. Внутри находились пароли в открытом виде - результат работы утилиты Mimikatz. Сама утилита на сервере не сохранилась: атакующий удалил её, чтобы замести следы.

Обладая паролем административной учётной записи, злоумышленник вошёл в облачный арендатор Microsoft 365. В журналах аудита значился успешный вход с типом "OAuth2:Token". Вместо обычного браузера или клиентского приложения использовался Java-клиент Apache-HttpClient. Это означало, что были получены токены доступа и обновления - OAuth-токены, которые позволяют работать с API без повторного ввода пароля.

Затем на одном из серверов был обнаружен инструмент rclone, предназначенный для синхронизации файлов с облачными хранилищами. Злоумышленник создал конфигурационный файл rclone.conf, который содержал параметры подключения к Microsoft OneDrive и SharePoint. В файле были указаны действительные токены, выданные для скомпрометированной административной учётной записи. Примечательно, что эти токены позволяли выполнять операции с IP-адреса, отличного от того, на котором они первоначально были выданы. Никакие политики условного доступа или привязки токена к IP не применялись, поэтому файлы начали скачиваться из SharePoint с адреса 193.24.123[.]40.

Перед началом эксфильтрации злоумышленник принял меры для обхода защитных систем. На всех скомпрометированных серверах он отключил антивирус Trellix Endpoint Security, а затем добавил в список исключений Microsoft Defender расширение .exe и путь к исполняемому файлу new.exe, который он разместил в каталоге ProgramData. Сама вредоносная полезная нагрузка - файл программы-вымогателя - была создана позже. Запуск шифрования подтвердило появление записки с требованием выкупа "!! READ_ME!!.txt" в корзине одного из серверов.

Суммарно злоумышленники скачали сотни тысяч файлов различных форматов - документы, изображения, электронные таблицы. Атака длилась несколько дней и была обнаружена только после начала шифрования. Восстановление бизнес-процессов стало возможным благодаря наличию чистых и верифицированных резервных копий. Специалисты Yarix рекомендовали сбросить пароли всех доменных пользователей, отозвать токены скомпрометированной учётной записи Microsoft 365, внедрить многофакторную аутентификацию для всех SSL-VPN-подключений и ограничить доступ внешних поставщиков к VPN по геолокации и времени. Также было предложено сбросить Kerberos-тикеты и все секреты облачного арендатора.

Этот случай наглядно демонстрирует, как одна скомпрометированная учётная запись поставщика может привести к полной компрометации инфраструктуры. Даже если внешняя компания не имеет постоянного доступа к критичным ресурсам, её учётные данные становятся целью злоумышленников. Без многофакторной аутентификации и жёстких политик условного доступа любой VPN-подобный вход превращается в открытую дверь для атакующих.

IPv4

• 193.24.123.40
• 203.98.68.35
• 206.188.196.231
• 5.255.97.222

SHA256

• 8b475604329fc1d0b9155f5a424fda3b5e9c883e372e7d093e636c886eb9bc59