Мониторинга Huntress SOC зафиксировал несанкционированное удалённое подключение к контроллеру домена одной из организаций. Дальнейшее расследование показало, что злоумышленник проник в гипервизор жертвы и создал новый экземпляр сервера. Эту виртуальную машину он использовал для размещения и запуска программы-вымогателя Akira. Поскольку экземпляр был создан только что, на нём не стояли средства защиты, в том числе агент Huntress.
Описание
VM, которой управлял злоумышленник, дала аналитикам ценные сведения об инциденте и тактике, применённой данным аффилированным лицом Akira. Для восстановления картины исследователи использовали телеметрию журналов событий Windows, артефакты истории браузера Microsoft Edge и другие данные. Одним из наиболее любопытных элементов происшествия стало то, что злоумышленник, по всей видимости, использовал функцию передачи файлов, принадлежащую LimeWire - файлообменному клиенту, который мог случайно заразить домашний компьютер в начале 2000-х, - для кражи данных.
Во время первоначальной регистрации инцидента поражённое устройство было выведено из сети, что ограничило понимание некоторых этапов, например вектора начального проникновения. Однако имеющаяся телеметрия EDR (системы обнаружения и реагирования на конечных точках) позволила увидеть часть активности злоумышленника. Был обнаружен процесс перечисления ресурсов: с помощью Блокнота открывались файлы AdUsers.txt и AdComp.txt, содержащие результаты аудита пользователей и компьютеров Active Directory.
Затем злоумышленник перешёл на файловый сервер организации. Там он воспользовался несколькими свободно распространяемыми инструментами. С помощью WinRAR - архиватора, который уже фиксировался в предыдущих атаках, - он упаковал содержимое одной из общих папок. Сразу после этого он запустил WinSCP, бесплатный файловый менеджер с поддержкой безопасной передачи, вероятно, для выгрузки подготовленного архива.
Следующий эпизод раскрыл неожиданный поворот: злоумышленник получил доступ к гипервизору, создал новый экземпляр сервера и использовал эту виртуальную машину уже как площадку для запуска шифровальщика Akira. На свежесозданной VM не было агента Huntress. Подобная тактика встречается нечасто - как отмечают в Huntress SOC, она редко наблюдалась не только у них, но и вообще у партнёров по программе-вымогателю, особенно у аффилированного лица Akira.
Файл виртуальной машины (образ VHDX) был передан аналитикам. Они смонтировали его через оснастку управления дисками, после чего приступили к криминалистическому анализу тома NTFS. Содержимое VM предоставило чёткую картину действий нарушителя, хотя на ней и не работал EDR-агент. Уже через несколько минут после входа злоумышленник отключил Microsoft Defender - единственное встроенное средство защиты на этой машине.
Затем он обратился к общим папкам и каталогам на других устройствах в сети, установил WinRAR (аналогично первым этапам расследования). После этого он открыл архив, содержащий версии исполняемого файла шифровальщика Akira для разных платформ, и переименовал один из файлов в akira.exe. Далее злоумышленник через браузер Edge перешёл в Bing и нашёл сайт Easyupload.io, предоставляющий загрузку файлов методом перетаскивания. Этот сайт работает на платформе LimeWire. Когда-то LimeWire был популярным P2P-клиентом для музыкального обмена, а с 2022 года переориентировался на NFT-сервисы, а затем и на файлообмен.
Сразу после доступа к LimeWire - по всей видимости, для выгрузки подготовленных архивов - злоумышленник запустил файл akira.exe против нескольких смонтированных общих ресурсов. Использование Easyupload.io/LimeWire и WinSCP - лишь один из многих методов эксфильтрации, которые наблюдались в подобных инцидентах. Huntress ранее описывала выгрузку данных через finger.exe, утилиты резервного копирования Restic, s5cmd, а также MegaSYNC и облачные хранилища.
В представленном [отчёте] отмечается, насколько стремительно развивалась атака. Помимо немедленного отключения Microsoft Defender, злоумышленник не применял никаких техник обороны или антифорензики. Сама виртуальная машина не была изменена для сокрытия следов - ни один журнал, ни один артефакт не подвергся очистке или маскировке. В результате цепочка действий, их последовательность и тайминг оказались полностью восстановимы. Создание VM было явно продуманным шагом: оно позволило атакующему избежать препятствий со стороны стека безопасности клиента.
Для организаций этот инцидент подчёркивает необходимость мониторинга сетевой среды на предмет необычного или вредоносного доступа, а также внимательного отслеживания появления новых устройств в инфраструктуре. Появление неучтённой виртуальной машины, созданной злоумышленником, может стать тем самым слепым пятном, через которое проходит вся атака.
Индикаторы компрометации
SHA256
- 131877a052f62750d815cf55d4c14f606a26025e3094e1b8bb18bd1668e3beaa