Сложная кибератака на украинские организации: минимальное использование вредоносного ПО и ставка на легитимные инструменты

Злоумышленники получили первоначальный доступ к сети компании, разместив веб-шеллы (webshell) на серверах, имеющих выход в интернет. Скорее всего, это было сделано путем эксплуатации одной или нескольких неустраненных уязвимостей. Среди прочего использовался веб-шелл с названием Localolive, который, по данным ряда источников, ранее ассоциировался с определенной хактивистской группировкой. Хотя независимо подтвердить связь с конкретной группировкой не удалось, технические индикаторы указывают на высокий уровень профессионализма атакующих.

Основная активность на скомпрометированной сети была связана с использованием легитимных системных утилит и двойных инструментов, что затрудняет обнаружение. Тем не менее, атакующие также развернули несколько подозрительных исполняемых файлов, с высокой вероятностью являющихся вредоносными, и бэкдоры на PowerShell, которые не были получены для анализа.

Хронология атаки на бизнес-организацию началась 27 июня 2025 года с попытки установки веб-шелла на сервер с контролируемого злоумышленниками IP-адреса. После этого они выполнили серию разведывательных команд для сбора информации о системе: определили права доступа, получили список запущенных процессов, данные о конфигурации системы и составе доменных групп.

Затем с помощью PowerShell была отключена проверка Защитником Windows папки «Загрузки», что требовало прав администратора и указывало на эскалацию привилегий.

Далее атакующие создали задание в Планировщике задач, которое выполнялось каждые 30 минут и инициировало создание дампа памяти. Эта техника часто применяется для извлечения конфиденциальных данных, таких как учетные данные, из оперативной памяти. Также была предпринята попытка сохранить копию системного реестра для последующего анализа.

Два дня спустя, 29 июня, на том же компьютере был установлен второй веб-шелл. Активность возобновилась с новой силой: злоумышленники проверили ARP-таблицу, повторно собрали данные о системе, получили информацию о всех компьютерах в домене и проверили сетевое соединение с публичным DNS-сервером Google. Затем атака переместилась на вторую машину в сети, где злоумышленники проверили наличие продуктов Symantec, вывели список всех файлов в профиле пользователя и целенаправленно искали запущенные процессы, связанные с менеджером паролей KeePass.

Шестого июля атакующие вернулись и создали еще одно задание в Планировщике задач для регулярного создания дампа памяти процесса с определенным идентификатором, что могло быть направлено на кражу учетных данных из KeePass. После затишья активность возобновилась 16 июля с использованием редкой техники - инструмента диагностики утечек ресурсов Windows (rdrleakdiag) для создания полного дампа памяти. Этот метод применяется нечасто и может оставаться незамеченным. После этого в папке «Загрузки» были запущены неизвестные исполняемые файлы с именами service.exe и cloud.exe, напоминающими по названию ранее используемые веб-шеллы.

На третьем компьютере, 18 июля, после стандартной разведки также был использован rdrleakdiag для дампа памяти. Затем атакующие модифицировали реестр, чтобы разрешить RDP-подключения без предварительной аутентификации, и создали правило брандмауэра, разрешающее входящие RDP-соединения, что открывало путь для удаленного доступа.

Четвертый компьютер был скомпрометирован 23 июля. Злоумышленники изучили установленные компоненты Windows, добавили необходимый функционал и запустили компонент RDPclip для работы с буфером обмена в RDS. На следующий день они тихо установили OpenSSH для всех пользователей, после чего создали и активировали правило брандмауэра для входящих подключений на порт 22. Для обеспечения устойчивости было создано задание, запускающее PowerShell-бэкдор (link.ps1) каждые 30 минут. Затем последовал дамп памяти с помощью rdrleakdiag и запуск неизвестного скрипта на Python с именем assembler.py.

Отдельной деталью атаки стало обнаружение легитимного приложения для управления маршрутизаторами MikroTik (winbox64.exe) в папках «Загрузки» на скомпрометированных компьютерах. Его предназначение в рамках этой кампании остается неясным.

Эксперты отмечают, что, несмотря на ограниченное использование вредоносного ПО, атакующие продемонстрировали глубокое знание встроенных инструментов Windows. Инцидент наглядно показывает, как квалифицированные злоумышленники могут продвигаться по сети и похищать конфиденциальные данные, оставляя минимальный след. Рекомендуется усилить мониторинг использования легитимных системных утилит, особенно PowerShell, и таких инструментов, как rundll32 и schtasks, а также своевременно применять обновления безопасности для общедоступных серверов.

IPv4

• 185.145.245.209

Domains

• ciscoheartbeat.com

SHA256

• 08ced2cca0b22dd7a211ebf318b8186fc1c2149943338c77ee2ac677b473727f
• 2866763ebd3124bfe9cf3f65d6341dda6bbb98e2653c98dd2f001f152e082291
• 44b1f3f06607cd3ee16517d31b30208910ce678cb69ba7a0514546dff183dfce
• 47e83dfd0f9680d2e9623fee92c0acc4db40ea4272edeb53164304620305a24f
• 636e04f0618dd578d107f440b1cf6c910502d160130adae5e415b2dd2b36abcb
• 6865685f75a64780aa24a05b267bea128bcc6efdc682fa2893e13a4f63e6d6e7
• 69cb709bffbeccea60776c49935acb41ecfb160973f1f11b195007c254c1c28c
• 70a5492db39585ec18de512058a5389c9a4043fba13ca8ad7d057ead66298626
• 79d1c7158d374ed80ec7f9305f6638ad95aefd600c9e280fc7fe081c7ef2f4b4
• 8140326d7474722e6bdd51dd305609e82319c0150ed429b74587d689acea2d54
• 8c07c37ac84d4c6fd76de3d966e26b65e401bc641a845baf6f73ad0d6a10fc6b
• 8eb178d5b1d528380c9ccfe1ea7f43aebd97b018a5b449ec911a05c0bd52d207
• 8fe4e336fbac4f5227f802ba1853f1b07ffdb414cec961c532c115078a2aa55e
• ba6301e35fc3feb41ece82e518f97a81263aa3bd750de7a84eef01dbf15f3507
• c2cf27810cc11ed7c6ae9f70f156f18cf3f73550ab5d675278e3b725fc88e2b0
• cf8e09f013fcb5f34c8c274bf07d9047956ba441dabf2d3de87ea025e14058b7
• e03b8c54ac916b363f956e4e4e04a19eb4119455d8006c92e9328e16a8cee52f
• e9a19d42da93e9257dc9b89afc34341e1c13d6a6f7dacd309f2fc545e6b749a3