С конца февраля специалисты компании Huntress фиксируют заметный рост инцидентов с участием малоизвестного коммерческого решения для удалённого управления (RMM) под названием Tiflux. Это первый случай, когда данный инструмент, разработанный в Бразилии, применяется в реальных атаках против клиентов Huntress и других организаций. Кампания представляет собой очередное подтверждение давней тенденции: злоумышленники всё чаще берут на вооружение легитимные средства удалённого администрирования, чтобы получить скрытый доступ к целевым системам и закрепиться в них.
Описание
Инцидент, который привлёк наибольшее внимание аналитиков, начался 1 мая с фишингового письма, отправленного с адреса businessservices@hg[.]lawdepotisland[.]com. В письме содержалась ссылка на страницу, защищённую CAPTCHA от CloudFlare. После прохождения проверки жертва попадала на сайт, где предлагалось скачать якобы защищённый документ - "соглашение об услугах". На деле ссылка вела к установочному файлу Tiflux, переименованному в Network Solutions Agreement.msi. Разработчики вредоносной кампании использовали несколько вариантов этой схемы, в том числе поддельное окно CAPTCHA, которое имитировало интерфейс macOS, хотя работало в браузере на Windows.
Установщик .msi был подписан цифровой подписью компании Tiflux Sistema de Gestão LTDA всего за день до анализа. Внутри архива содержались основные компоненты самого RMM: TiAgent (оркестратор) и TiPeerToPeer (канал для связи с технической поддержкой). Кроме того, в установщик были включены три зависимости: UltraVNC (открытый инструмент удалённого доступа), а также архиваторы 7zip и tar. При этом версия UltraVNC оказалась безнадёжно устаревшей - её компоненты датированы 2014 годом, а сертификат издателя истёк ещё в марте того же года. Также в составе присутствовал видеодрайвер mv video hook driver2, выпущенный в апреле 2007 года, который используется для передачи изображения экрана через VNC.
После того как жертва устанавливала агент Tiflux, злоумышленник через возможности самого RMM развёртывал на её компьютере дополнительные инструменты - Splashtop и/или ScreenConnect. В отчёте Huntress отмечается, что в ходе тестирования системы запускали службы Splashtop без какого-либо уведомления пользователя. Оба RMM начинали передавать скриншоты и миниатюры экрана на серверы управления, а также выполняли команды для сбора профилирующей информации об операционной системе. Например, служба Splashtop запускала утилиту osqueryl.exe для опроса параметров заражённой машины.
Особую тревогу вызывает то, что вместе с Tiflux устанавливается уязвимый драйвер HwRwDrv.x64. Он помещается во временную папку пользователя и регистрируется в Windows. Этот драйвер известен тем, что в прошлом использовался для повышения привилегий (elevation of privilege) на скомпрометированных системах. Его сертификат подписи был отозван несколько лет назад, однако он всё ещё работоспособен. Таким образом, злоумышленник, получивший доступ к машине через Tiflux, может легко расширить свои возможности.
Помимо драйвера, в установщике обнаружены пять файлов реестра (.reg). Один из них добавляет службу для другого VNC-клона - TightVNC, причём настраивает её так, чтобы она запускалась даже в безопасном режиме Windows. Другой файл реестра прописывает SSH-ключ для PuTTY, позволяющий проходить аутентификацию без пароля на удалённый сервер remote1a[.]peopleone[.]com[.]br (на момент публикации отчёта сервер был недоступен). Ещё два файла изменяют политики Windows таким образом, чтобы скрыть появление VNC-сессии: отключают запросы на подтверждение действий и другие уведомления.
Инициализационные файлы UltraVNC содержат два жёстко прописанных пароля, закодированных в шестнадцатеричном формате, но легко обратимых. В одном из этих файлов найдена строка, указывающая на разработчика, который, по данным открытых источников, связан как с компанией PeopleOne, так и с Tiflux.
Само решение Tiflux не пытается маскировать свою работу. При запуске в системном трее Windows появляется иконка в виде двух красных или оранжевых шевронов, направленных вправо. Если пользователь видит такой значок, ему следует немедленно обратиться в IT-отдел. Кроме того, после завершения установки запускается безобидный исполняемый файл si.exe, который выводит окно с сообщением на португальском языке об успешной установке. Этот файл может служить полезной меткой для специалистов по информационной безопасности при поиске других установщиков Tiflux.
Кампания с Tiflux продолжает серию атак, которые в сообществе называют LOLRMM - легитимные инструменты удалённого управления, используемые во вредоносных целях. Ранее злоумышленники применяли ScreenConnect, TeamViewer, Atera, NinjaRMM и другие аналогичные продукты. Установочные файлы .msi, в отличие от привычных .exe, часто вызывают меньше подозрений, хотя способны привести к полной компрометации системы. Современные браузеры предупреждают пользователя о потенциальной опасности при загрузке таких файлов, и игнорировать это предупреждение не стоит.
Рекомендации для защиты от подобных угроз включают ведение точного реестра установленного ПО, строгий контроль за разрешёнными RMM-решениями и регулярную сверку с базами данных вроде LOLRMM. Анализ логов активности RMM также помогает выявить подозрительные паттерны. Однако главный урок из инцидента с Tiflux заключается в том, что даже малоизвестные инструменты могут стать оружием в руках злоумышленников, если они сумеют обмануть доверчивого пользователя.
Индикаторы компрометации
IPv4
- 84.54.33.192
IPv4 Port Combinations
- 84.54.33.192:8040
Domains
- anythinghere.woremix.icu
- lenwillfilenetwork.com
- shankar.woremix.icu
URLs
- http://84.54.33.192:8040/Bin/ScreenConnect.ClientSetup.msi
- https://anythinghere.woremix.icu/Viewfiles/download.php
- https://lenwillfilenetwork.com/downloads/Network%20Solutions%20Agreement.msi
SHA256
- 0b95524e5b00688f7f5efe56a74b93985feb2152d9336d44ca7a8dd9ca25d2d5
- 87074c1bfd071fc47410a52af863e9ca62b2b85950c4cf643a220f0ea5717952
- f792d82e4472c001852998a3575e492907f38daa8d58ecdb3b3604b38d7b8a07
