Редкий взгляд изнутри: как хакеры Muddled Libra использовали виртуальную машину для атаки

Muddled Libra хорошо известна экспертам по информационной безопасности своими изощрёнными атаками с применением социальной инженерии, такими как смшинг (smishing) и вишинг (vishing). Их цель - обманом заставить сотрудников или службы поддержки сбросить пароли и многофакторную аутентификацию (MFA). Важной особенностью группы является минимальное использование вредоносного ПО (malware). Вместо этого злоумышленники предпочитают применять легитимные инструменты и инфраструктуру самой жертвы, что затрудняет обнаружение.

В расследованном инциденте уже через два часа после первоначального взлома атакующие создали в vSphere новую VM с именем «New Virtual Machine». Используя локальную учётную запись администратора, они быстро развернули на ней свой операционный центр. Практически сразу были загружены похищенные ранее сертификаты, которые впоследствии использовались для подделки тикетов в системе Kerberos. Всего через три минуты злоумышленники установили дополнительный канал постоянства (persistence) с помощью туннелирующего инструмента Chisel, загруженного из контролируемого ими AWS S3 хранилища.

Особый интерес представляют действия по хищению учётных данных. Примерно через 15 минут после создания VM атакующие отключили два виртуальных контроллера домена (DC) жертвы, смонтировали их диски и скопировали критически важные файлы NTDS.dit и SYSTEM. Эти файлы содержат всю базу данных Active Directory, включая хэши паролей пользователей. Расшифровав базу, злоумышленники получили доступ к хэшам NTLM и Kerberos всех учётных записей домена.

Следующим этапом стала активная разведка внутри сети. Приблизительно на 30-й минуте пребывания в системе атакующие запустили инструмент ADRecon для детального перечисления Active Directory. Собранные данные, включая информацию о домене, политиках паролей, пользователях и групповых политиках, были упакованы в ZIP-архив. Особое внимание злоумышленники уделили файлу ComputerSPNs.csv, который содержит имена участников-служб (SPN). Этот список помог им идентифицировать критически важные сервисы в инфраструктуре жертвы, такие как Veeam, MSSQL, Exchange и Hyper-V, для последующего таргетирования.

Параллельно с технической разведкой злоумышленники занимались и «бизнес-разведкой». Они искали в сети значение отраслевых кодов NAICS, пытаясь понять специфику деятельности организации и определить, какие данные могут представлять наибольшую ценность. Вскоре после этого фокус сместился на платформу данных Snowflake. Атакующие взаимодействовали с базами данных Snowflake жертвы, скачивая информацию на свою VM и пытаясь найти способ для её выгрузки на внешние файлообменники.

Этот процесс столкнулся с трудностями. Служба безопасности организации заблокировала доступ ко многим популярным файлообменным сервисам. В истории браузера остались следы многочисленных поисковых запросов, таких как «upload files no registration», и попыток доступа к различным платформам, включая LimeWire и FileTransfer.io. Не сумев быстро выгрузить данные через веб-сервисы, злоумышленники перешли к латеральному перемещению по сети с помощью скомпрометированных учётных записей, используя RDP, SSH и инструмент PsExec.

Одной из ключевых целей стала почта. Скомпрометировав несколько учётных записей, атакующие попытались получить доступ к почтовым ящикам и выгрузить файлы PST. При этом они столкнулись с проблемами производительности и даже искали в сети способы загрузить «старую версию Outlook» для обхода возможных ограничений. В конечном итоге для эксфильтрации PST-файла они использовали инструмент S3 Browser, загрузив данные в свой контролируемый сегмент облачного хранилища Amazon S3.

Примечательно, что встроенный защитник Microsoft Defender на самой виртуальной машине детектировал некоторые инструменты атакующих, такие как ADRecon и Chisel, как угрозы. Однако это не остановило злоумышленников, которые продолжали активность в течение примерно 15 часов, пока доступ не был прерван командой безопасности жертвы.

Этот инцидент наглядно демонстрирует, что эффективность таких групп, как Muddled Libra, основана не на сложных эксплойтах, а на эксплуатации человеческого фактора и умелом использовании легитимных средств. Они действуют тихо, максимально сливаясь с обычной активностью в сети. Случай с rogue VM подчёркивает критическую важность усиления контроля за идентификацией, соблюдения принципа наименьших привилегий и непрерывного мониторинга за аномальным использованием административных инструментов и облачных сред, особенно в инфраструктурах виртуализации. Устойчивость к таким атакам начинается не со сложности систем защиты, а с бдительности, полной видимости происходящего в сети и строгого управления доступом.

IPv4

• 104.16.100.29
• 162.125.3.18

Domains

• fast.com
• filebin.io
• filetransfer.io
• limewire.com
• s3browser.com
• sean-referrals-commissions-electricity.trycloudflare.com
• upload.ee
• uploadnow.io
• we.tl

SHA256

• 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b
• 088f2aced9ed60c2ce853b065f57691403459e1e0d167891d6849e1b58228173
• 6784e652f304bf8e43b42c29ad8dd146dd384fa9536b9c6640dfbc370c3e78de
• 6e2c39d0c00a6a8eef33f9670f941a88c957d3c1e9496392beedc98af14269a2
• 996e68f2fe1c8bb091f34e9bf39fd34d95c3e21508def1f54098a1874bfb825e
• e451287843b3927c6046eaabd3e22b929bc1f445eec23a73b1398b115d02e4fb