За пределами спам-бомбардировки: злоумышленники приносят свой виртуальный компьютер для скрытного доступа

Инцидент начался с классической спам-бомбардировки, когда почтовый ящик организации был переполнен тысячами нежелательных писем. Этот приём часто используется группами, распространяющими программы-вымогатели (ransomware), в качестве отвлекающего манёвра. Затем последовал телефонный звонок от лица, представившегося специалистом технической поддержки, который предложил помощь в устранении проблемы. Воспользовавшись доверием, злоумышленник убедил сотрудника разрешить удалённый доступ через легитимное приложение Quick Assist, встроенное в Windows.

Однако вместо немедленной установки вредоносного ПО (payload) или шифровальщика атакующие использовали полученный доступ для развёртывания собственной виртуальной машины (VM) на базе открытого эмулятора QEMU. По мнению аналитиков, это первый зафиксированный случай, когда QEMU-машина была внедрена под видом техподдержки после спам-атаки. Файл "Update.vbs" запускал исполняемый файл "w.exe", который на деле оказался компонентом QEMU ("qemu-system-x86_64.exe"). Виртуальная машина была настроена с сетевым доступом в интернет и разрешением на сканирование локальной сети организации, что типично для этапа разведки.

После запуска VM начала активную сетевую деятельность. Были установлены соединения с внешним доменом "marnyonline[.]com", который выполнял роль командного сервера (C2), а также с легитимным ПО для удалённого доступа ScreenConnect. Кроме того, виртуальная машина отправляла DNS-запросы для получения SRV-записей домена. Подобная разведка служб помогает злоумышленникам находить критически важные серверы, например, контроллеры домена Active Directory.

В ходе расследования был идентифицирован IP-адрес ("45[.]61[.]169[.]127"), связанный с использованием фреймворка Sliver. Конфигурация сервера Sliver в режиме «multiplayer» оставила характерный цифровой отпечаток - SSL-сертификат с именем "CN=multiplayer". Это упростило его обнаружение в сети через Shodan. Детальный анализ диска виртуальной машины с помощью инструмента Plaso позволил восстановить хронологию событий. Виртуальная машина работала под управлением устаревшей Windows 7 SP1, что позволило использовать данные Prefetch, автоматически записываемые системой. Эти записи показали последовательный запуск программ: после ScreenConnect выполнялись "ping.exe", "Notepad", "powershell.exe", а также файлы "1HTTPS.EXE", "2MTLS.EXE" и "SOCKS.EXE" из временной папки.

История браузера Firefox в виртуальной среде показала, что после условно «чистой» установки системы злоумышленник искал Tor Browser, скачивал архиватор 7-Zip, установщик ScreenConnect и архив "rer.zip" (позже удалённый). Это указывает на стремление анонимизировать трафик и подготовиться к эксфильтрации данных. Анализ файлов в TEMP-каталоге подтвердил, что "1HTTPS.EXE" и "2MTLS.EXE" являются имплантами Sliver, а "ScreenConnect.ClientSetup.exe" - легитимным ПО. Файл "res.txt" содержал результаты ping-сканирования сети, выполненного с целью минимальной заметности. Файл "start.txt" описывал механизмы обеспечения устойчивости (persistence), гарантирующие автозапуск ScreenConnect и имплантов Sliver после перезагрузки.

Особый интерес вызвал файл "SOCKS.EXE". Его анализ в изолированной среде VMray показал попытки соединения с IP-адресом "88[.]119[.]167[.]239". Позже выяснилось, что этот адрес связан с туннелирующим бэкдором, известным как QDoor, который, по данным ConnectWise, использовался группой BlackSuit. Таким образом, арсенал злоумышленника включал как минимум два канала управления: через Sliver и через QDoor, а также легитимный ScreenConnect для резервного доступа.

Данный инцидент иллюстрирует несколько важных тенденций. Во-первых, злоумышленники активно используют легитимные инструменты удалённого администрирования (RMM), такие как Quick Assist и ScreenConnect, чтобы слиться с обычным сетевым трафиком. Во-вторых, внедрение полноценной виртуальной машины представляет собой сложный, но крайне скрытный метод сохранения доступа. Наконец, сочетание нескольких C2-каналов и инструментов разведки демонстрирует высокий уровень подготовки и адаптивности угрозы. Для защитников это означает необходимость мониторинга не только явно вредоносной активности, но и аномального использования легитимного ПО, особенно в сочетании с необычными событиями вроде спам-бомбардировок.

IPv4

• 45.61.169.127
• 88.119.167.239

SHA256

• af68dfd0ad3d95ff0869b593289eff4c26f5a6a2793b441010c51da891b58269