Кто стал жертвой хакеров: итоги апреля от компании Cymulate

pexels-akwice-3094799 1.png

В апреле 2021 года злоумышленники вышли на новый уровень: в погоне за прибылью кибергруппировки вымогателей начали атаковать корпоративные системы. Так, например,
хакеры DarkSide
предлагали биржевым трейдерам конфиденциальную информацию своих жертв, чтобы брокеры могли заработать на продаже акций взломанной ими компании до того, как информация о взломе и утечке данных станет достоянием общественности. Зловреды-вымогатели Babuk решили изменить свою бизнес-модель и перешли от угрозы внедрения «программы-вымогателя» как услуги (RaaS), к краже данных с последующим вымогательством. При этом требование выплатить выкуп за данные, похищенные из взломанных сетей, вымогатель выставлял до начала шифрования файлов.

Стоит отметить, что в настоящее время наблюдается очередной всплеск активности киберпреступников, спонсируемых государством. В апреле 2021 года злоумышленники воспользовались новым вредоносным ПО «PortDoor», чтобы проникнуть в системы Центрального конструкторского бюро морской техники  (ЦКБ МТ) «Рубин», проектирующее подводные лодки для ВМФ России. Предположительно работающая на китайское правительство киберпреступная группа использовала хорошо известный прием — целевой фишинг:
1. Хакеры отправили фишинговое письмо на электронную почту генерального директора предприятия.
2. Письмо содержало вложение в виде файла с общим описанием автономного подводного аппарата.
3. Файл RTF был создан с помощью инструмента RoyalRoad версии 7 для создания вредоносных документов, использующих уязвимости редактора формул Microsoft. Известно, что использование RoyalRoad было связано с несколькими злоумышленниками, работающими от имени правительства Китая, такими как Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.
4. После открытия документа RTF в папку автозагрузки Microsoft Word перемещался бэкдор PortDoor, замаскированный под файл надстройки «winlog.wll».
Детальное изучение апрельских кибератак показало, что в числе вредоносного ПО использовался также и многоцелевой ботнет Phorpiex. Будучи одной из старейших и наиболее устойчивых угроз, Phorpiex применялся для распространения другого вредоносного ПО, а именно программ-вымогателей GandCrab и Avaddon.
В апреле напомнил о себе и ботнет Sysrv-hello. Впервые обнаруженный в декабре 2020 года, этот вредоносный проект работал на базе многокомпонентной архитектуры с модулями майнеров и червей. Сейчас он может создавать целую армию ботнетов для добычи криптовалюты Monero, адаптированных под Windows и Linux. После обновления используется один двоичный файл для майнинга и автоматического распространения вредоносного ПО на другие устройства. В апреле было зафиксировано, что этот ботнет ведет активный поиск уязвимых корпоративных серверов Windows и Linux для их последующего заражения атакующим кодом майнера Monero (XMRig) и самораспространяющимися вредоносными программами. Компонент-распространитель активно сканировал Интернет в поисках уязвимых систем, чтобы пополнять арсенал ботнетов путем запуска эксплойтов, использующих уязвимости удаленного выполнения вредоносного кода. Атаки на облачные ресурсы выполнялись посредством эксплуатации уязвимостей, позволяющих удаленное выполнение произвольного кода в PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic и Apache Struts.
После взлома серверов все уже существующие майнеры криптовалюты были удалены. Затем Sysrv-hello проникал внутрь сети путем полного перебора закрытых ключей SSH из различных ресурсов зараженных серверов, в результате чего зараженные машины использовались для перемещения внутри периметра. Адреса хостов определялись по файлам истории оболочки bash, файлам конфигурации ssh и known_hosts. Файл конфигурации майнинга Sysrv-hello XMrig содержал один из цифровых кошельков Monero, используемых ботнетом для сбора данных Monero из майнингового пула F2Pool. В последних образцах, обнаруженных в общедоступной среде, после удаления MineXMR, была добавленаподдержка майнинг-пула Nanopool. Как правило, ботнеты для майнинга криптовалюты, собирая незаконно добытые средства, используют несколько кошельков, связанных с разными майнинг-пулами, чтобы увеличить свою прибыль.
Еще одним новшеством, которое было зафиксировано в апреле, стало использование техники Process Doppelgänging программой-вымогателем SynAck. Стоит отметить, что эти технологии существуют с 2017 года. Process Doppelgänging действует аналогично Process Hollowing, когда процесс создается с единственной целью — запустить вредоносный исполняемый файл, обмануть систему и заставить программу защиты классифицировать процесс как законный и безопасный для выполнения. Process Doppelgänging использует транзакционную файловую систему New Technology File System (TxF) для отката любых измененных процессов до легитимного состояния и не оставляет никаких следов атаки. В результате вредоносный код не отображается на диске. По сути, это внедрение кода с помощью транзакций NTFS, используемых в Windows, для запуска вредоносного исполняемого кода под видом легитимного процесса. В апреле техника Process Doppelgänging позволила программе-вымогателю SynAck избежать обнаружения и усложнила ее анализ за счет продвинутой обфускации бинарного кода. При этом исполняемый троян был без упаковщика.
Если вы хотите оценить степень защиты сетевой инфраструктуры вашей организации к современным атакам и вредоносным программам, запустите решение для оценки киберустойчивости Cymulate Immediate Threats. Cymulate Immediate Threats не только определит устойчивость системы, но и в случае обнаружения уязвимостей, предложит ряд мер  для снижения рисков. В пользовательском интерфейсе Cymulate доступны индикаторы компрометации!
Источник: cymulate.com