Убийца корпоративных сетей: вредоносная кампания DarkCracks захватывает сервера

Убийца корпоративных сетей: вредоносная кампания DarkCracks захватывает сервера

Первые признаки взлома появляются лишь спустя месяцы после атаки.

image

Исследователи безопасности из китайской компании QiAnXin обнаружили новую сложную вредоносную кампанию под названием DarkCracks, которая использует взломанные веб-сайты GLPI и WordPress для распространения вредоносных загрузчиков и управления заражёнными устройствами. Кампания была выявлена после анализа подозрительных файлов, отправленных на VirusTotal, где было замечено полное отсутствие детектирования антивирусами.

DarkCracks представляет собой систему доставки и обновления вредоносных программ, рассчитанную на долгосрочную эксплуатацию взломанных устройств. Вредоносные компоненты внедряются через сайты общественного пользования, такие как школьные порталы, системы бронирования и городские транспортные системы. Заражённые устройства выполняют роль узлов для дальнейшего распространения вредоносного ПО и контроля над другими заражёнными устройствами.

Схема работы DarkCracks сложна и изощрённа: атака начинается с загрузки вредоносных файлов на целевые серверы, которые затем скачивают и запускают дополнительные компоненты. Эти компоненты отвечают за сбор данных с заражённых устройств, поддержку долгосрочного доступа и скрытое управление. Атака в основном нацелена на высокопроизводительные устройства, которые могут служить серверами управления и контроля (C2) и загружать новые версии вредоносных файлов.

Особенностью кампании DarkCracks является её способность к маскировке и устойчивость к обнаружению. Многие компоненты вредоносного ПО оставались незамеченными на протяжении года. Несмотря на попытки исследователей проанализировать все элементы, некоторые части системы до сих пор остаются необнаруженными, в частности, основная компонента под названием Launcher, отвечающая за запуск атакующих процессов.

Одной из уникальных находок стало использование файла-ловушки, названного «김영미 이력서» (резюме на корейском), что предполагает целенаправленное фишинговое воздействие на корейских пользователей. Этот документ, защищённый паролем, был загружен на один из серверов, участвующих в кампании.

Исследование началось в июне 2024 года, когда команда QiAnXin зафиксировала подозрительный трафик, исходящий с IP-адреса, принадлежащего системе GLPI. Впоследствии было установлено, что злоумышленники использовали скомпрометированные серверы для загрузки вредоносных файлов, скрывая свою активность через многослойные механизмы маскировки и обновления.

Тем не менее, несмотря на тщательную маскировку и использование продвинутых методов шифрования данных, QiAnXin смогла выявить компоненты системы и понять основную логику её работы. Система доставки вредоносных программ работает по принципу трёхуровневой проверки URL, что позволяет ей находить резервные копии компонентов в случае, если основной сервер будет отключён.

Исследователи предупреждают администраторов IT-систем о необходимости повышенного внимания к подозрительным процессам на серверах, особенно к системам, связанным с IT-активами и веб-контентом, таким как GLPI и WordPress. Для защиты от таких угроз рекомендуется регулярно обновлять ПО, устанавливать патчи безопасности и проверять логи на наличие подозрительного сетевого трафика.

DarkCracks является очередным напоминанием о том, что злоумышленники продолжают разрабатывать всё более сложные и труднообнаружимые системы для взлома и кражи данных, поэтому защита корпоративных сетей требует постоянного совершенствования и внимательности.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!