Специалисты компании Breakglass Intelligence обнаружили ранее неизвестную платформу для удалённого управления заражёнными компьютерами, получившую название ObsidianStrike. В течение как минимум девяти месяцев она функционировала на скомпрометированной инфраструктуре бразильской юридической компании Mosello Lima Advocacia, оставаясь практически невидимой для систем защиты. Этот случай демонстрирует, как злоумышленники могут месяцами скрытно использовать ресурсы легитимных организаций для проведения целевых кибератак, обходя традиционные средства мониторинга.
Описание
Расследование началось с внешней подсказки, которая привела аналитиков к двум виртуальным серверам в дата-центре DigitalOcean в Нью-Джерси. Оба сервера, развёрнутые из одного и того же снимка системы, работали под управлением Ubuntu и принадлежали бразильской юридической фирме Mosello Lima Advocacia. На них, наряду с легитимной системой управления юридическими делами Portal MIT, работавшей на порту 443, был запущен панель управления командным центром ObsidianStrike на порту 9000. Важной деталью стало то, что основной домен фирмы защищался через Cloudflare, однако поддомен "cit[.]mosellolima[.]com[.]br", вероятно, означающий "Центр информатики и технологий", указывал напрямую на IP-адреса серверов, полностью обходя прокси и защиту Cloudflare. Это предоставило злоумышленнику значительное преимущество в операционной безопасности.
Исследователи из Breakglass Intelligence в своём отчёте детально описали технические особенности инфраструктуры. Анализ показал, что злоумышленник не нарушил работу основных сервисов фирмы, а лишь добавил свой порт, что позволило ему долгое время оставаться незамеченным. Фактически, скомпрометированные серверы стали платформой для управления вредоносными агентами на компьютерах-жертвах, что подтверждается анализом исходного кода ObsidianStrike. Эта платформа, написанная на португальском языке, использует для серверной части лёгкий Python http.server, а для веб-интерфейса оператора - современный фреймворк Vue.js с Socket.IO для связи в реальном времени. Платформа позволяет выполнять произвольные команды, делать скриншоты, вести потоковую передачу экрана, просматривать файловую систему, скачивать и удалять файлы, а также получать список процессов. Ключевым индикатором целевой платформы стал путь по умолчанию для файлового браузера - "C:\", что указывает на управление компьютерами под управлением Windows с помощью серверов на Linux.
Особую озабоченность вызывает обнаруженная серьёзная вторичная уязвимость в легитимном приложении фирмы. Система управления делами Portal MIT, построенная на Django, работала в производственной среде с включённым режимом отладки. Это означает, что при обращении к несуществующему URL система выводила полную карту всех внутренних маршрутов приложения. Таким образом, любой злоумышленник мог получить схему всей внутренней автоматизации фирмы: имена ботов для обработки дел, эндпоинты панелей бизнес-аналитики, инструменты управления судебными процессами, сертификатами и встречами. Для юридической фирмы, работающей с конфиденциальными данными клиентов, такая утечка информации представляет собой критический риск, так как может облегчить проведение целевых атак против конкретных судебных разбирательств.
Аналитики пришли к выводу, что Mosello Lima Advocacia является жертвой компрометации инфраструктуры, а не инсайдерской угрозы. На это указывает несколько факторов: операционное название ObsidianStrike, характерное для инструментов злоумышленников; сохранение режима отладки в легитимном приложении; наличие функции автонастройки панели управления с учётными данными по умолчанию; нацеленность платформы на Windows при размещении на Linux-серверах; неизменность легитимных сервисов; создание поддомена, обходящего Cloudflare; и развёртывание двух идентичных серверов из одного снимка, что указывает на компрометацию учётной записи DigitalOcean. Согласно данным Shodan, в интернете существует только два экземпляра ObsidianStrike, и они практически не детектируются системами безопасности. На момент обнаружения платформа имела лишь 1-2 срабатывания на VirusTotal из 94 сканирующих систем, что делало её невидимой для автоматической защиты.
Несмотря на создание кастомной платформы, злоумышленник допустил ряд серьёзных ошибок в операционной безопасности. Помимо размещения C2 на идентифицируемом бизнес-домене и утечки данных через режим отладки, к ним относятся: размещение логики настройки и учётных данных по умолчанию в клиентском JavaScript, доступ к панели управления без предварительной аутентификации, а также идентичные SSH-отпечатки и SSL-сертификаты на обоих серверах, что однозначно связало всю инфраструктуру с одним оператором. Эти промахи позволили исследователям идентифицировать, проанализировать и полностью картировать деятельность злоумышленника, используя лишь пассивные данные. Инцидент служит важным напоминанием для организаций о необходимости строгого контроля за доступом к облачным аккаунтам, регулярного аудита конфигураций, особенно режимов отладки в продакшн среде, и мониторинга DNS-записей на предмет несанкционированных изменений, которые могут обойти существующие средства защиты.
Индикаторы компрометации
IPv4
- 137.184.240.126
- 137.184.76.141
Domains
- cit.mosellolima.com.br
- mosellolima.com.br
URLs
- https://cit.mosellolima.com.br:9000
- https://cit.mosellolima.com.br:9000/api/agents
- https://cit.mosellolima.com.br:9000/api/login
- https://cit.mosellolima.com.br:9000/api/setup
SSH Host Key Fingerprint
- 1e:33:09:dd:ab:30:0e:d9:f4:7d:8c:2c:f7:6e:a1:d9
HASSH
- 41ff3ecd1458b0bf86e1b4891636213e
JARM
- 15d3fd16d29d29d00042d43d000000fe02290512647416dcf0b400ccbc0b6b
SSL Certificate CN
- cit.mosellolima.com.br
