42 часа до катастрофы: как UNC4393 парализует корпоративный сектор

В середине 2022 года специалисты Mandiant обнаружили несколько вторжений, связанных с QAKBOT, что привело к развёртыванию BEACON и других C2-маяков. Это стало первым случаем идентификации группы UNC4393, основного пользователя вымогательского ПО BASTA.

За время наблюдений Mandiant зафиксировала более 40 вторжений UNC4393 в 20 различных отраслях. Хотя ранее медицинские организации не были основным объектом атак группы, несколько инцидентов в этом году указывают на возможное расширение их интересов.

UNC4393 представляет собой финансово мотивированный кластер угроз, который активно использует вымогательское ПО BASTA с середины 2022 года. Группа обычно получает первоначальный доступ через ботнет QAKBOT, который распространяется через фишинговые электронные письма с вредоносными ссылками или вложениями.

Операторы BASTA предпочитают закрытую модель аффилиатов, предоставляя доступ только проверенным третьим лицам, что отличает их от традиционных моделей «вымогательское ПО как услуга» (RaaS).

Благодаря высокой оперативной скорости, UNC4393 может проводить разведку, эксфильтрацию данных и выполнять свои цели в среднем за 42 часа. Несмотря на это, Mandiant выделяет два основных кластера, связанных с BASTA: UNC4393 и UNC3973. UNC4393 охватывает большинство активностей, связанных с BASTA, тогда как UNC3973 демонстрирует уникальные тактики и методы, требующие отдельного отслеживания.

Всего в арсенале UNC4393 числится множество вредоносных программ, среди которых, например:

• BASTA: вымогательское ПО, которое шифрует локальные файлы и использует случайные ключи для каждого файла.
• SYSTEMBC: туннелер, который скрывает сетевой трафик, связанный с другими вредоносными программами.
• KNOTWRAP: дроппер, который выполняет дополнительные нагрузки в памяти.
• KNOTROCK: утилита на базе .NET, создающая символические ссылки и запускающая BASTA.
• DAWNCRY: дроппер, который расшифровывает и выполняет встроенные ресурсы.
• PORTYARD: туннелер, устанавливающий соединение с C2-сервером.
• COGSCAN: сборщик данных о системе и сети.

Ранее UNC4393 практически всегда использовала ботнет QAKBOT для первоначального доступа. Однако после его ликвидации в 2023 году группа перешла на другие методы, включая фишинг и малвертайзинг. SILENTNIGHT, основное вредоносное ПО для этих атак, позволяет выполнять различные функции, такие как контроль системы и захват скриншотов.

После получения доступа UNC4393 использует комбинацию легитимных инструментов и собственного вредоносного ПО. Часто применяется DNS BEACON для поддержания доступа и выполнения операций. Начиная с 2024 года, группа использует многоэтапную цепочку инфекций, включающую DAWNCRY и PORTYARD.

Для разведки UNC4393 применяет такие инструменты, как BLOODHOUND, ADFIND и PSNMAP. Также используется собственный инструмент COGSCAN для сбора информации о сети и системах. Для перемещения в сети и поддержания доступа UNC4393 использует SMB BEACON и протокол удалённого рабочего стола (RDP). Часто применяются возможности удалённого выполнения через WMI, что позволяет быстро распространять вымогательское ПО.

Цель UNC4393 — быстро собрать и эксфильтровать данные, чтобы использовать их для многоуровневого шантажа. В основном для кражи данных используется программа RCLONE. Ранее группа вручную развёртывала шифровальщик, но с конца 2023 года начала использовать утилиту KNOTROCK, что значительно ускорило процесс.

UNC4393 продолжает развиваться и представляет значительную угрозу. Переход от использования готовых инструментов к разработке собственного вредоносного ПО и сотрудничество с другими группировками позволяет ей оптимизировать свои операции.

Эффективная защита от таких угроз требует проактивных и комплексных мер безопасности, включая регулярное обновление программного обеспечения, обучение сотрудников методам кибербезопасности и использование передовых технологий для обнаружения и предотвращения атак.