Вымогатели готовили атаку 11 дней: загрузчик BumbleBee привёл к почти неотвратимому шифрованию

Проникновение началось с фишингового письма, которое содержало ссылку на скачивание защищённого паролем ZIP-архива. Внутри архива находился ISO-образ. При попытке открыть его пользователь видел смонтированный виртуальный диск, на котором лежал единственный файл с названием documents.lnk. На самом деле это был ярлык, запускающий вредоносный код. При двойном щелчке по нему незаметно выполнялась скрытая DLL-библиотека namr.dll. Она и загружала BumbleBee на компьютер жертвы.

После того как загрузчик связался со своими серверами управления, примерно через три часа на хост был доставлен первый полезный груз - бэкдор Cobalt Strike с именем wab.exe. Этот инструмент сразу же внедрился в процессы explorer.exe и rundll32.exe. Из этих заражённых процессов злоумышленники начали разведку с помощью штатных утилит Windows: ping и tasklist. Всё это время связь с командным центром оставалась активной.

Через четыре часа после первых действий атакующие использовали RDP для подключения к серверу от имени локального администратора. На нём они установили AnyDesk - единственный механизм закрепления в системе, который был зафиксирован. Затем началось исследование службы каталогов Active Directory с помощью утилиты AdFind. Эти инструменты и методы - классические признаки подготовки к массированной атаке.

Специалисты DFIR Report в своём отчёте подробно описали хронологию операции. Особый интерес представляет кастомный инструмент, получивший название VulnRecon. Его впервые встретили в реальных вторжениях. VulnRecon, написанный под платформу .NET 5.0, умел определять неисправленные уязвимости локального повышения привилегий на Windows-хосте, а также выводить журнал установленных обновлений Microsoft. Злоумышленники запускали его дважды - сначала на сервере, а на четвёртый день с того же заражённого рабочего места.

На четвёртый день атакующие перенесли через SMB-сеть утилиту Procdump из пакета Sysinternals на несколько машин. С её помощью они выгрузили дамп процесса LSASS. Это позволило получить хэши паролей учётных записей. Однако, судя по дальнейшим действиям, им всё же не удалось захватить контроль над высокопривилегированной учётной записью доменного администратора. Поэтому они продолжили прощупывать сеть.

Седьмой день ознаменовался повторным входом через AnyDesk и новым прогоном VulnRecon вместе с инструментом Seatbelt. Этот сборщик информации проверяет множество параметров безопасности хоста. К тому моменту злоумышленники знали о сети практически всё.

Финальный акт развернулся на одиннадцатый день. Атакующие скачали с удалённого сервера скрипт PowerShell и выполнили его в памяти. Через PowerShell запустили модуль Invoke-Kerberoast - он позволяет запрашивать билеты Kerberos для сервисных учётных записей и подбирать их пароли офлайн. Именно так они и поступили: взломали слабый пароль сервисного аккаунта, который обладал правами доменного администратора. Сразу после этого они использовали встроенную команду Cobalt Strike PsExec для перемещения на контроллер домена. Кроме того, злоумышленники запустили два пакетных файла (s.bat и w.bat). Они пинговали все серверы и рабочие станции, создавая списки целей для будущей развёртки программы-вымогателя.

К счастью, операторы системы безопасности успели выдворить группировку из сети до того, как началось шифрование. Однако характер всех действий на одиннадцатый день - сканирование сети, получение доступа к контроллеру домена, использование свежего Cobalt Strike-бэкдора - указывает на то, что готовилась полномасштабная атака с вымогательством. Исследователи отмечают, что атакующие использовали два разных сервера управления: первый обслуживал весь период (кроме последнего дня), а второй появился только на финишной прямой. Это типичная практика: менять инфраструктуру, чтобы избежать единой точки блокировки.

Данный инцидент - наглядный урок для всех специалистов по информационной безопасности. Он показывает, что даже при длительном пребывании злоумышленников в сети (11 дней) возможно вовремя остановить их, если мониторинг настроен на выявление нестандартных действий. Однако цена ошибки огромна: на подготовку к шифрованию уходит до двух недель. Каждый день промедления увеличивает риск полной утраты данных. Поэтому критически важно своевременно обнаруживать такие инструменты, как BumbleBee, загрузчики полезной нагрузки и несанкционированные программы удалённого доступа вроде AnyDesk. Только комплексный подход к защите способен сократить время реакции до нескольких часов.

IPv4

• 104.243.33.50
• 108.62.12.174
• 142.91.3.109
• 45.140.146.30
• 45.153.243.142

Domains

• dofixifa.com
• fuvataren.com

MD5

• 3466ffaf086a29b8132e9e10d7111492
• 3654f4e4c0858a9388c383b1225b8384
• 4b78228c08538208686b0f55353fa3bf
• 5226b7138f4dd1dbb9f6953bd75a320b
• 5839b4013cf6e25568f13d3fc4120795
• 951d017ba31ecc6990c053225ee8f1e6
• 9b02dd2a1a15e94922be3f85129083ac
• bba3ff461eee305c7408e31e427f57e6
• c68437cc9ed6645726119c12fdcb33e7
• f856d7e7d485a2fc5b38faddd8c6ee5c

SHA1

• 2cb6ff75b38a3f24f3b60a2742b6f4d6027f0f2a
• 3300c0c05b33691ecc04133885b7fc9513174746
• 58739dc62eeac7374db9a8c07df7c7c36b550ce5
• 67707f863aa405a9b9a335704808c604845394bf
• 6c87ca630c294773ab760d88587667f26e0213a3
• 7a3db4b3359b60786fcbdaf0115191502fcded07
• 974ffbfae36e9a41ac672f9793ce1bee18f2e670
• a204f20b1c96c5b882949b93eb4ac20d4f9e4fdf
• c68e4d5eaae99d6f0a51eec48ace79a4fede3c09
• d9832b46dd6f249191e9cbcfba2222c1702c499a

SHA256

• 1cf28902be615c721596a249ca85f479984ad85dc4b19a7ba96147e307e06381
• 2d67a6e6e7f95d3649d4740419f596981a149b500503cbc3fcbeb11684e55218
• 59198ffaf74b0e931a1cafe78e20ebf0b16f3a5a03bb4121230a0c44d7b963d2
• 5eb0b0829b9fe344bff08de80f55a21a26a53df7bd230d777114d3e7b64abd24
• 90f489452b4fe3f15d509732b8df8cc86d4486ece9aa10cbd8ad942f7880075e
• a9e90587c54e68761be468181e56a5ba88bac10968ff7d8c0a1c01537158fbe8
• b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682
• c1b8e9d77a6aea4fc7bed4a2a48515aa32a3922859c9091cecf1b5f381a87127
• eb4cba90938df28f6d8524be639ed7bd572217f550ef753b2f2d39271faddaef
• fa2b74bfc9359efba61ed7625d20f9afc11a7933ebc9653e8e9b1e44be39c455