Аккаунт умершего сотрудника помог внедрить в сеть вымогателя Nefilim

Аккаунт умершего сотрудника помог внедрить в сеть вымогателя Nefilim

Злоумышленники проникли в корпоративную сеть через эксплойт и хозяйничали там целый месяц на правах администратора домена Active Directory. Доступ к нужному аккаунту они получили, воспользовавшись отсутствием контроля: владелец этой учетной записи умер за три месяца до атаки. Вторжение было обнаружено, когда в сети заработал шифровальщик Nefilim — за короткий срок он сумел поразить более сотни систем.

Вымогательская программа Nefilim, она же Nemty, попала в поле зрения ИБ-экспертов полтора года назад. Список ее жертв включает такие громкие имена, как Whirlpool и Orange. Операторы Nefilim обычно прибегают к двойному шантажу, угрожая публикацией украденных данных в случае неуплаты выкупа. С этой целью они создали специальный сайт — Corporate Leaks.

Новая жертва Nefilim не использует специализированную защиту от взлома  конечных устройств (Endpoint Detection and Response, EDR), но является клиентом Sophos. Столкнувшись с проблемой доступа к важным данным, организация призвала на помощь экспертов. Зловред был быстро найден и обезврежен.

Расследование показало, что точкой входа для авторов атаки послужил уязвимый экземпляр Citrix Storefront 7.15 CU3 — интерфейса, обеспечивающего удаленный доступ к приложениям и виртуальным десктопам в корпоративной сети или из внешнего источника.

В этом ПО был обнаружен целый букет незакрытых уязвимостей — CVE-2019-11634, CVE-2019-13608, CVE-2020-8269, CVE-2020-8270, CVE-2020-8283.

Эксплойт позволил злоумышленникам получить удаленный доступ к сети, который они закрепили, используя вход по RDP. Дальнейшее продвижение по сети им обеспечили Mimikatz и Cobalt Strike — инструменты для пентеста, позволяющие отыскать сохраненные пароли и получить представление об атакуемой инфраструктуре.

Вооружившись добытой информацией, непрошеные гости также добрались до заброшенного аккаунта администратора домена и целый месяц по ночам выкачивали данные, установив клиент файлообменника MEGA. После этого в ход был пущен шифровальщик Nefilim, которого внедрили в сеть жертвы с помощью системы интерфейсов Windows Management Instrumentation (WMI).

Заброшенные аккаунты, со слов экспертов, составляют большую угрозу для корпоративных сетей. Их статус надо обязательно контролировать, особенно когда речь идет об учетной записи администратора домена. В данном случае организация оставила аккаунт сотрудника активным, поскольку его используют некоторые сервисы.

В Sophos это сочли порочной практикой — с этой целью обычно создается учетная запись службы и вводится запрет на вход в диалоговом режиме. А число админ-аккаунтов в организации лучше сократить до минимума.

Снизить риски, по мнению экспертов, помогут следующие нехитрые правила:

  • выдавать разрешения на доступ только для выполнения конкретной задачи или ролевой миссии;
  • незамедлительно отключать аккаунт, если нужда в нем отпала;
  • ввести практику использования аккаунтов службы;
  • запретить вход в неконтролируемые аккаунты в диалоговом режиме;
  • регулярно проводить аудит Active Directory с целью мониторинга активности существующих админ-аккаунтов и выявления случаев внепланового добавления новых пользователей в группу админов домена.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

За месяц NullMixer поразил 8000 Windows-устройств, включая IoT

Известный ИБ-эксперт из Болоньи Лука Мелла (Luca Mella) рассказал о текущей вредоносной кампании с участием дроппера NullMixer. За последний месяц злоумышленникам удалось с его помощью внедрить инфостилеров, шпионов и зловредных загрузчиков более чем в 8 тыс. компьютеров, серверов и даже IoT-устройств под управлением Windows, расположенных в различных регионах.

Новая NullMixer–кампания, как и в прошлом году, использует вредоносную рекламу, черный SEO и социальную инженерию. Первичная полезная нагрузка выдается за кряки популярного софта техобслуживания (EaseUS Partition Master, Driver Easy Pro и т. п.), продвигаемые с помощью видеороликов на Youtube.

Чтобы уберечь от обнаружения хост с вредоносным кодом (в облаке Mega.nz), злоумышленники используют короткие ссылки Bit.ly и страницу-редирект, созданную на BlogSpot. Формат отдаваемого файла с NullMixer остался прежним — WinRAR.exe.

В архиве содержится также множество бинарников, автоматически запускаемых по клику:

  • Crack.exe — загрузчик PseudoManuscrypt;
  • Brg.exe — инфостилер Raccon, командный сервер которого поднят в сетях российского хостинг-провайдера VDSina;
  • Lower.exe — шпион GCleaner с функциями загрузчика;
  • Sqlcmd.exe — загрузчик интересного бота-стилера, использующего криптографию на основе эллиптических кривых (ECC) для защиты C2-коммуникаций;
  • KiffAppE2.exe— загрузчик с кодовым именем Crashtech/CrashedTech, появившийся в поле зрения ИБ-экспертов в ноябре прошлого года;
  • ss29.exe — дроппер потрошителя криптокошельков Fabookie (спрятан в .jpeg), использующий PAC-файлы с Google Cloud для настройки перехвата трафика через внешний HTTP-прокси.

Анализ KiffAppE2.exe (Crashtech) показал, что это .NET-бинарник, запускающий код загрузчика. Вредонос ищет в системном реестре ключ KiffAppApi: по всей видимости, его используют в рамках схемы PPI (Pay Per Install, оплата за каждую установку), и проверка помогает исключить повторное заражение.

Код Crashtech незамысловат; он отсылает системные данные (юзернейм, версия ОС, внешний IP) на C2-сервер, парсит ответ, чтобы извлечь информацию о месте сохранения целевой, а затем загружает пейлоад и запускает его на исполнение (с помощью API Process.Start). В этом месяце данный загрузчик использовался в основном для доставки инфостилера RedLine с C2-сервером в сетях украинского провайдера Timehost.

Исполняемый файл Sqlcmd.exe представляет собой 32-битный бинарник среды выполнения Microsoft C и C++ (MSVC). Зловред упорно пытается загрузить с заданного адреса множество файлов, имена которых отвечают шаблонам ab[число].php и ab[число].exe. Он также запускает выполнение встроенной PowerShell-команды на загрузку дополнительного кода.

Имена скриптов, загружаемых с взломанного пакистанского WordPress-сайта, схожи: debug2.ps1, debug20.ps1, debug4.ps1 и т. п. После расшифровки (XOR) итоговые байты включаются в состав .NET-сборки. Примечательно, что ключ для расшифровки вредонос получает с внешнего C2-сервиса, реализующего многоступенчатую схему полиморфной защиты. Оттуда же отдаются дополнительные конфигурационные данные: ID участника партнерки и адреса C2.

В этом месяце финальный .NET-файл защищен с помощью ConfuseEx v1.0.0. После распаковки высвобождается модуль с именем koi, реализующий функции инфостилера:

  • кража паролей из FileZilla, Chrome, Discord;
  • кража данных из криптокошельков, проверка наличия аппаратного кошелька Trezor;
  • кража данных из папки Telegram;
  • кража конфигурационных данных VPN;
  • кража 2FA-кодов из локального хранилища Twilio Authy.

Прежде чем приступить к сбору данных, koi выполняет функцию checkVal, чтобы избежать повторной инфекции, а также выявить наличие песочницы или эмулятора антивируса. Стилер также откатывает заражение, если местоположение жертвы — одна из стран бывшего СНГ (определяется по дефолтному языку ОС).

Центр управления koi расположен в Латвии; связь осуществляется нестандартным образом: зловред перенаправляет конкретные потоки в памяти непосредственно на удаленный сервер, чтобы не оставлять следов на диске. При этом используется HTTP, но сообщения отследить трудно, так как они шифруются с использованием кастомного протокола на основе ECC-криптографии. Последнее отправленное сообщение содержит произвольно сгенерированный публичный ключ, что открывает возможность для детектирования.

Заражения в рамках запущенной в январе NullMixer-кампании зафиксированы в 87 странах. В этом месяце злоумышленники значительно расширили свою географию, выйдя за пределы Северной Америки.

 

Большинство атакуемых хостов используют клиентскую ОС Microsoft — Windows 10 Pro или Windows 10 Home. Заражений на предприятиях крупного и среднего бизнеса заметно меньше (версия Enterprise — 5,3% хостов, Windows Server — 71 хост). Пять инфицированных устройств используют Windows Embedded, то есть относятся к классу IoT.

 

Большая часть данных, по мнению исследователя, вскоре появится на рынках даркнета. Доступ к серверам тоже будет выставлен на продажу.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru