SocGholish: От загрузчика и C2 до развертывания RansomHub

Тенденция в угрозах показывает, что операции с вымогательским ПО часто базируются на разделенных партнерских моделях, где брокеры начального доступа, загрузчики вредоносного ПО и операторы постэксплойта сотрудничают. SocGholish, как один из загрузчиков, используется для закрепления в сети, передавая доступ к аффилированным лицам и продвигая заражение вымогательским ПО RansomHub.

SocGholish – это вредоносное ПО, функционирующее  с 2017 года, проникая через JavaScript на зараженные веб-сайты, особенно на CMS-сайтах. Применяя заведомо уязвимые сайты, злоумышленники встраивают вредоносный код, что ведет к дальнейшему развертыванию маячков Cobalt Strike и распространению вымогательского ПО RansomHub. Darktrace обнаружила много случаев компрометации сети после развертывания SocGholish, выявляя изменения поведения злоумышленников, например, злоупотребление учетными данными через устаревшие протоколы вроде WebDAV.

Злоумышленники используют SocGholish для первоначального доступа, заражая веб-сайты и заставляя пользователей загружать вредоносный JavaScript через фальшивые обновления браузера. SocGholish обходит обнаружение, используя обфусцированный код и системы распределения трафика, например Keitaro TDS, для успешного распространения. Инциденты с загрузкой пакетов Python на файловые серверы свидетельствуют о сохранении доступа и латеральном перемещении по скомпрометированным узлам.

В одном случае злоумышленники использовали протокол WebDAV для попыток связи с удаленной конечной точкой и инициировали NTML-аутентификацию и SMB-сессии через Интернет. Хотя попытки были неудачными, сервер WebDAV, вероятно, получил NTLM-хэш пользователя, который может быть использован для взлома пароля. В другом случае злоумышленники загрузили файл 'Thumbs.scf' на внутренние ресурсы SMB, используя устаревший формат SCF, что позволило им инициировать NTML-аутентификацию через отравленные папки. Такие методы пассивного воздействия позволяли злоумышленникам получать хэши и информацию пользователей неявно.

После компрометации устройств злоумышленники пытались установить соединения через TLS/SSL с различными наборами C2 инфраструктуры. Для запуска цепочки заражения они использовали обфусцированные загрузчики JavaScript и устанавливали обратное соединение по HTTPS через порт 443. Соединения с инфраструктурой связанной с SocGholish и RansomHub предшествовали второму набору исходящих соединений, способствуя развертыванию бэкдора на основе Python. Подключение к инфраструктуре RansomHub основывалось на тактике port-hopping, циклически переключаясь между эфемерными портами для уклонения от защитных мер и фильтрации трафика.

Аналитики Darktrace выявили, что системы, подключавшиеся к портам 2308, 2311, 2313 и прочим на определенный IP-адрес, связанный с C2-средой RansomHub, использовали тактику port-hopping для обхода мониторинга трафика. Обнаруженные действия злоумышленников подтверждают использование различных методов для доступа к данным и командно-контрольных операций, включая использование уязвимостей протоколов и тактик уклонения от обнаружения для обеспечения хорошего функционирования своих атакующих операций.

IPv4

• 108.181.182.143
• 166.88.182.126
• 176.53.147.97
• 185.174.101.240
• 185.174.101.69
• 185.76.79.50
• 35.203.175.30

Domains

• blacksaltys.com
• blackshelter.org
• garagebevents.com
• msbdz.crm.bestintownpro.com
• packedbrick.com
• rednosehorse.com
• virtual.urban-orthodontics.com