Старая утечка у крупного интегратора позволила злоумышленникам за две недели уничтожить инфраструктуру спортивной организации: вредоносное ПО маскировалось под 1С

К специалистам по расследованию инцидентов обратилась организация, чья инфраструктура насчитывала около десяти систем, включая серверы 1С, RDS и файловые хранилища. Все системы были виртуальными и располагались на одном физическом сервере-гипервизоре, который одновременно выполнял роль контроллера домена - подобное совмещение ролей представляет собой серьёзную уязвимость архитектуры. Доступ к системам, как показало расследование, был получен за две недели до момента шифрования, причём первую неделю злоумышленники не проявляли активности, проводя тихую разведку и собирая информацию.

На второй неделе атакующие приступили к активному сканированию инфраструктуры и подбору паролей учётных записей. За двенадцать часов до запуска шифровальщика произошёл успешный вход сервисной учётной записи с правами администратора домена с нетипичного сетевого адреса. Обнаружили эту активность специалисты только после начала шифрования - пароль у данной учётной записи, вероятно, был слабым, а флаг DONT_EXPIRE_PASSWORD указывал на то, что его не меняли с момента создания. Именно эта застаревшая сервисная учётная запись, использовавшаяся интегратором для обслуживания систем, стала точкой входа.

Точкой проникновения стали серверы RDS и 1С, которые были доступны из внешней сети по стандартным портам RDP. В обе системы с разницей в несколько минут подрядчик совершил вход по RDP, после чего на каждой из них было размещено вредоносное ПО под видом легитимного компонента 1С. Исполняемый файл "C:\ProgramData\1C\1cv8\1cv8srv.exe" сопровождался созданием службы "1cv8srv" с отображаемым именем "1cv8 License Service", что делало его практически неотличимым от подлинного программного обеспечения. Без глубокого анализа контекста системный администратор мог легко принять эту активность за плановое обновление подрядчика.

Однако файл этот является вредоносным загрузчиком на платформе .NET Framework, который маскируется под ПО 1С. Подобная маскировка программ-вымогателей и бэкдоров (вредоносного ПО, предоставляющего удалённый доступ к системе) часто вводит в заблуждение не только начинающих специалистов, но и опытных администраторов, которые опасаются удалять подозрительные файлы, чтобы не нарушить работу бизнес-приложений. После заражения злоумышленники больше не использовали учётную запись подрядчика, переключившись на прямое подключение к инфраструктуре через установленные образцы вредоносного ПО.

Технический анализ вредоносного загрузчика показал изощрённую архитектуру. Первая стадия, файл 1c8srv.exe, представляет собой загрузчик с обфускацией имён, состоящих из трёх-четырёх английских слов. Он закрепляется в системе в качестве службы, мимикрирующей под лицензионный сервер 1С. Функционал разделён на четыре класса: один служит хранилищем статических переменных, другой описывает вредоносную службу как наследник класса ServiceBase, третий реализует логику установки службы, а четвёртый содержит точку входа. При запуске служба динамически загружает .NET-библиотеку из ресурсов приложения и выполняет её точку входа.

Вторая стадия, файл input.dll, является более сложным компонентом. При запуске он создаёт мьютекс для предотвращения повторного заражения системы, после чего обращается к серверу управления вредоносным ПО, расположенному по адресу hxxps://shavezy[.]com. Основной цикл работы загрузчика каждые две минуты проверяет наличие новых зашифрованных AES-пакетов с полезной нагрузкой. Эта нагрузка расшифровывается и выполняется в памяти процесса с использованием техники T1620 по классификации MITRE ATT&CK - так называемый рефлексивный код, который позволяет запустить вредоносную программу без сохранения её на диске, что значительно осложняет обнаружение. Получить финальный образец полезной нагрузки специалистам не удалось, однако по косвенным признакам можно предположить, что следующая стадия реализовывала функционал удалённого управления или сокрытия данных.

В момент атаки злоумышленники поочерёдно подключились к системам по RDP, отключили средства антивирусной защиты и запустили исполняемый файл программы-вымогателя Hardbit версии 4.2. В результате вся небольшая инфраструктура была зашифрована практически мгновенно, что подтверждает высокую степень подготовленности атакующих. Ранее специалисты не сталкивались с деятельностью данной группировки, которую назвали NGC8211. По доступным артефактам можно сделать вывод, что мотивация группы - исключительно финансовая выгода от вымогательства.

Этот инцидент служит важным напоминанием о фундаментальных принципах защиты даже для небольших организаций. Использование подрядчиком учётной записи с бессрочным паролем, доступность серверов из интернета по RDP без VPN и второго фактора, а также отсутствие сегментации сети превратили компанию в лёгкую мишень. Особенно показательно, что подрядчик является крупным интегратором с множеством клиентов, а утечка его данных, произошедшая несколько лет назад, до сих пор ставит под угрозу заказчиков. Размер организации не гарантирует безопасности - злоумышленники нацеливаются на любую уязвимую инфраструктуру, которую можно зашифровать и потребовать выкуп.

IPv4

• 89.221.203.162

Domains

• shavezy.com

MD5

• 1952f6477626d797f671f2a1d5d77bb0
• 8f412e708f2df13f6e85fc3f06816cc7

SHA1

• 5845f9046ba1e9822c89896154031491ffbf27d9
• 8aa46d77c5491b1e407df9cdaf520937aa3a880b

SHA256

• 127bb4d31ac0bd83fa004971f745837cbcc1d5b524e2726b84448f9079a9d12e
• 24995b545dc6844e7ddb378ccf3f73c97fb3a563d6722ff7ed18bf31258f5c8f