Злоумышленники из группировки Trigona применили собственный инструмент для кражи данных: отказ от типовых решений ради скрытности

Программа-вымогатель Trigona впервые появилась в конце 2022 года и функционирует по модели Ransomware-as-a-Service (модель предоставления программ-вымогателей как услуги, при которой разработчики сдают своё ПО в аренду партнёрам-злоумышленникам). Оператором этой схемы выступает киберпреступная группировка, которую эксперты Symantec называют Rhantus. В марте текущего года филиалы этой группы применили в атаках необычный подход: вместо того чтобы использовать хорошо известные инструменты для выгрузки похищенных данных, они задействовали собственное решение. Мотивы такого решения пока остаются не до конца ясными, однако эксперты склоняются к тому, что атакующие стремятся сохранить низкий профиль на критически важном этапе проведения атаки, когда обнаружение их активности могло бы сорвать весь план.

Большинство публично доступных утилит для кражи данных уже хорошо изучены командами защитников, и многие из них могут быть выявлены современными средствами безопасности. Создание собственного инструмента позволяет обойти сигнатурные и поведенческие детекторы. Специалисты компании Symantec [обнаружили] и проанализировали этот инструмент, получивший имя uploader_client.exe. Речь идёт о консольной утилите, взаимодействующей с сервером злоумышленников через жёстко прописанный в коде адрес. Судя по структуре и логике работы, этот инструмент действительно является продуктом собственной разработки, а не модифицированной версией какой-либо открытой программы.

Технические характеристики этой утилиты заслуживают отдельного внимания. Например, она использует пять параллельных подключений для каждого файла, что позволяет быстро насытить доступную пропускную способность канала связи и оперативно передать украденные документы на сервер злоумышленников. Кроме того, в инструменте реализована ротация TCP-соединения: после передачи определённого объёма данных, по умолчанию составляющего 2048 мегабайт, утилита разрывает текущее подключение к серверу и устанавливает новое. Эта техника, скорее всего, направлена на обход систем мониторинга сетевого трафика, которые срабатывают на длительные сессии с высокой передачей данных на один и тот же IP-адрес. Такая особенность делает атаку значительно менее заметной для администраторов сети.

Дополнительным преимуществом для злоумышленников стала возможность тонкой фильтрации данных. С помощью флага --exclude-ext атакующие могут исключить из выгрузки объёмные и малоценные файлы, например аудио- и видеоформаты (mp3, mp4, avi). Таким образом, киберпреступники сосредотачиваются исключительно на краже конфиденциальной документации, не тратя время и ресурсы на передачу бесполезного с их точки зрения контента. В одном из зафиксированных инцидентов утилита была нацелена на папки, содержащие счета-фактуры и ценные PDF-документы, хранившиеся на сетевых дисках организации-жертвы. Кроме того, в инструменте предусмотрен механизм аутентификации: общий ключ используется для проверки подлинности клиента перед сервером, что предотвращает несанкционированный доступ к хранилищу похищенных данных со стороны третьих лиц.

Однако само создание кастомного инструмента для выгрузки - лишь часть более широкой картины. Развёртыванию этой утилиты предшествует активная фаза подавления защитных механизмов. В ходе атак злоумышленники устанавливали на скомпрометированные системы утилиту HRSword из набора Huorong Network Security Suite, используя её как драйвер режима ядра. В дополнение к этому применялся целый арсенал средств для отключения систем защиты: PCHunter, Gmer, YDark, WKTools, DumpGuard и StpProcessMonitorByovd. Большинство этих утилит используют уязвимые драйверы для завершения процессов защитных решений на уровне ядра операционной системы. Для запуска некоторых из этих инструментов с повышенными привилегиями применялась утилита PowerRun. Работа на уровне ядра позволяет обойти стандартные средства защиты пользовательского режима и эффективно нейтрализовать даже современные продукты информационной безопасности.

Удалённый доступ к заражённым машинам атакующие получали с помощью AnyDesk. Параллельно велась кража учётных данных: применялись такие специализированные инструменты, как Mimikatz, а также различные утилиты для восстановления паролей от Nirsoft, с помощью которых злоумышленники извлекали учётные данные из браузеров и прикладных программ.

Стоит подчеркнуть, что применение кастомного вредоносного ПО остаётся относительно редким явлением в деятельности группировок, использующих программы-вымогатели. Большинство партнёрских филиалов полагаются на типовые наборы инструментов, которые либо являются открытыми, либо легко приобретаются на теневых форумах. Создание собственной утилиты для кражи данных указывает на более высокий уровень технической зрелости атакующих. Для самих злоумышленников такой подход является палкой о двух концах: с одной стороны, он требует значительных временных и ресурсных затрат на разработку, с другой - обеспечивает уровень скрытности, которого невозможно достичь при использовании типовых решений, по крайней мере до того момента, пока этот кастомный инструмент не будет обнаружен и проанализирован сообществом специалистов по информационной безопасности.

IPv4 Port Combinations

• 163.172.105.82:1080

SHA256

• 0b679027e38f3d9ca554085be0e762c651e83e6414401b56635cdf3765ca1dac
• 0ce7badb26174b6129fb13d7e255e582f84d8aaedeabcd02c80d84a609144068
• 1433aa8210b287b8d463d958fc9ceeb913644f550919cfb2c62370773799e5a5
• 1588023393eb6b4d9433d539d303ecb56b6c3630e860f94d1a137834bdedf2bd
• 205818e10c13d2e51b4c0196ca30111276ca1107fc8e25a0992fe67879eab964
• 207b11f7dc4f17e4e5a9c25dbfb6a785a7456d7c381ecea7c729d8d924be1fb9
• 274ca13168b38590c230bddc2d606bbe8c26de8a6d79156a6c7d07265efe0fdf
• 2b214bddaab130c274de6204af6dba5aeec7433da99aa950022fa306421a6d32
• 35f28a31a47b0bcd92722265473d66ffef6c4bd460c71c36b57df2ac0d02f671
• 396aa1f8f308010a3c76a53965d0eddd35e41176eacd1194745d9542239ca8dc
• 48f3d66492a494965e7039079158e2fee552aaab517d1a55352209c9eedcb765
• 49a7b3cf426d1f35a2138c0a6cec397688d223d7f2bcbbeed53b511a328a97be
• 4a44d0c6cf5de515dd296f05ff6674d1a340fccf6b4c11612d27be2d3baa82b0
• 4adbb1906762c757764ffc5fa64af96e091966f4f5a43aae12fcc4f05f1c26b5
• 598555a7e053c7456ee8a06a892309386e69d473c73284de9bbc0ba73b17e70a
• 5be325905df8aab7089ab2348d89343f55a2f88dadd75de8f382e8fa026451bd
• 647b2f12486343fe065dc4abbb11e2338589eb099c72792b5a05e64a5e2937fc
• 6688fb3039ad6df606d76a897ef1072cdc78b928335c6bfa691d99498caf5c4b
• 6bac99f56e54d5195783513ae6954a4a8509d7bc397c94f405266b5df9cd96cb
• 6c31dd44b29b5f87030caececc616cf366badeff5a7e4c9933aa5fa6445a0c7a
• 6ce228240458563d73c1c3cbbd04ef15cb7c5badacc78ce331848f5431b406cc
• 72fc3d03065922b9a03774bbd1873e5e7f3a5a2abf5dcf7bfb2e98aceed53a9d
• 73cd405b5bfc99ec5cf33467d4be7fc7e39ae18337568ee10173c17ba6e8f0d7
• 771de264c5d7e1e5ac85f00c42e9fe3b439bcbd4f9aa11e4fd7bc0d87fa2344e
• 7a313840d25adf94c7bf1d17393f5b991ba8baf50b8cacb7ce0420189c177e26
• 816d7616238958dfe0bb811a063eb3102efd82eff14408f5cab4cb5258bfd019
• 87bf4b152d9548f415f12f353f988b5442729e7f24e2902ddfd0baa4a944354a
• 8a2f4907159a68867b22bc772590ebcafcfa656a23951228ecd89e4f598472b0
• 99c4775ed813f354c9e53f42797226d82b26f44d19e81036c9e55222d1744189
• a18555c1ca53d4826191a30889d82205a304932f997baec755c98ddad4326cb8
• b066ca2702853c2fcbf686897c18f6d315be7ae753007ac2c1d73c87b0a30de9
• b3774ba01a3096348fd76a7072407b9f07bb9589e0f5ba31ca576689bbbe94e4
• c41216eee9756a1dcc546df4fe97defc05513eed64ce6ac05f1501b50e6f96cc
• c64964944b4c1f649ae8f694964b3a212dc1028341ab71836306a456fba0b3f4
• c7d994eb2042633172bd8866c9f163be531444ce3126d5f340edd25cbdb473d4
• d4339a5b9d15211dbc85424cf7fa8ff825033ea3378506d8ecb19b016db5b4ff
• d833e8fc97b3c865ebfb96a48da9ec446148cb5ad7e66ca5c47cd693f7923888
• df5a574254637d2880633b0582e956b23f66efc6781e825c65e1ccfaa6c58809
• e8a3e804a96c716a3e9b69195db6ffb0d33e2433af871e4d4e1eab3097237173
• eee885e5dae750848d0903d179cacd81149ceecec83c2ec4ad4545531de3cfdf
• f27eab3157451e31db71169e71f76d28325193218f9dc8f421136d4a20165feb
• f5390674f0f49fe8af116396828c3de6729347ebc3c772d87618e55629aec06c