MDR отслеживает две кампании по распространению программ-вымогателей с использованием «бомбардировки по электронной почте» и «вишинга» в Microsoft Teams
Sophos MDR выявляет новый кластер угроз, имитирующий сценарий Storm-1811, и повышенную активность оригинала, связанную с вирусом-вымогателем Black Basta.
Подразделение управляемого обнаружения и реагирования (MDR) компании Sophos X-Ops активно реагирует на инциденты, связанные с двумя отдельными группами злоумышленников, каждая из которых использовала функциональность платформы Microsoft Office 365 для получения доступа к целевым организациям с вероятной целью кражи данных и развертывания программ-вымогателей.
Sophos MDR начала расследование этих двух отдельных кластеров активности в ответ на инциденты клиентов в ноябре и декабре 2024 года. Sophos отслеживает эти угрозы как STAC5143 и STAC5777. Оба субъекта угроз использовали собственные арендаторы служб Microsoft Office 365 в рамках своих атак и использовали конфигурацию Microsoft Teams по умолчанию, которая позволяет пользователям на внешних доменах инициировать чаты или встречи с внутренними пользователями.
STAC5777 пересекается с группой угроз, ранее идентифицированной Microsoft как Storm-1811 . STAC5143 — это ранее не зарегистрированный кластер угроз, копирующий сценарий Storm-1811, с возможными связями с субъектом угроз, известным под именами FIN7, Sangria Tempest или Carbon Spider.
Мы публикуем этот подробный отчет по обоим кластерам угроз, чтобы помочь защитникам обнаружить и заблокировать эти продолжающиеся угрозы, а также повысить осведомленность о распространении этой тактики среди организаций, использующих платформу Office 365. Sophos MDR зафиксировала более 15 инцидентов, связанных с этой тактикой, за последние три месяца, причем половина из них произошла за последние две недели.
Распространенные тактики включают в себя:
Email-бомбардировка — целенаправленная рассылка большого объема спам-сообщений по электронной почте (до 3000 менее чем за час) с целью переполнить почтовые ящики Outlook нескольких сотрудников организации и создать ощущение срочности.
Отправка сообщений Teams и совершение голосовых и видеозвонков Teams из контролируемого злоумышленником экземпляра Office 365 целевым сотрудникам, выдавая себя за техническую поддержку их организации.
Использование инструментов удаленного управления Microsoft — либо Quick Assist, либо напрямую через общий доступ к экрану Teams — для получения контроля над компьютером целевого лица и установки вредоносного ПО.
STAC5143:
Встроенный пульт дистанционного управления Teams
Архив Java (JAR) и среда выполнения Java, которые автоматизируют эксплуатацию компьютера жертвы
JAR извлекает бэкдоры на основе Python из .zip-файла, загруженного по удаленной ссылке SharePoint.
Использует методы и инструменты, связанные с FIN7
STAC5777:
Быстрая помощь Microsoft
Изменение конфигурации клавиатуры и развертывание вредоносного ПО
Развертывание легитимного средства обновления Microsoft с вредоносной сторонней загрузкой DLL, которая обеспечивает сохранение, похищает учетные данные и позволяет обнаруживать сетевые ресурсы.
Использует RDP и удаленное управление Windows для доступа к другим компьютерам в целевой сети.
В одном случае был использован вирус-вымогатель Black Basta
Методы, инструменты и процедуры совпадают с идентифицированным Microsoft субъектом угрозы Storm-1811
Очень активный
В отчете подробно описывается тактика двух кластеров угроз, которые следуют версиям одной и той же схемы атак: бомбардировка электронной почты и поддельная техническая поддержка, социальная инженерия с доставкой вредоносного ПО, эксплуатация легитимных сервисов через платформу Microsoft Office 365, а также попытки развертывания инструментов управления и контроля и кражи данных.
Мы с большой долей уверенности полагаем, что оба вида злонамеренной деятельности являются частью попыток вымогательства и кражи данных.
STAC5143
Хотя некоторые из вредоносных программ, обнаруженных в этом кластере угроз в двух атаках, которые наблюдала Sophos, были похожи на атаки FIN7, обнаруженные eSentire и Sekoia , было несколько вещей, которые отличались от обычной атаки типа FIN7. Известно, что FIN7 в первую очередь нацеливается на жертв посредством фишинга и (в последнее время) вредоносной спонсируемой рекламы Google для доставки вредоносного ПО. Эта цепочка атак была другой и была нацелена на организации меньшего размера и в других секторах бизнеса, чем обычные жертвы FIN7.
Цепь атак
Первоначальный доступ
В начале ноября сотрудница клиентской организации Sophos MDR сообщила своему внутреннему ИТ-контакту, что они получили исключительно большой объем спам-сообщений — более 3000 за 45 минут. Вскоре после этого они получили звонок Teams из-за пределов своей организации с учетной записи под названием «Менеджер службы поддержки». Поскольку организация использовала поставщика управляемых услуг для ИТ-услуг, это не вызвало подозрений у сотрудника, принявшего видеозвонок.
Во время звонка злоумышленник приказал сотруднику разрешить сеанс удаленного управления экраном через Teams. С помощью этого сеанса удаленного управления злоумышленник смог открыть командную оболочку, сбросить файлы и выполнить вредоносное ПО, развернув их из внешнего хранилища файлов SharePoint. Файлы включали файлы архива Java (JAR) и архив .zip, содержащий код Python и другие компоненты.
Первый этап исполнения
Злоумышленник выполнил JAR-файл из командной оболочки, открытой во время удаленного сеанса с копией легитимного javaw.exe — среды выполнения Java «headless», которая интерпретирует и выполняет код Java без вывода на консоль.
Через Java-прокси в MailQueue-Handler.jar злоумышленник определил идентификатор процесса для javaw.exe с помощью утилиты командной строки Windows Management Instrumentation (WMIC.exe). Затем злоумышленник изменил кодовую страницу для активного окна консоли на «65001», чтобы разрешить кодировку UTF-8 для поддержки многоязычного ввода и вывода. Это, вероятно, использовалось вместе с обходом политики выполнения PowerShell, чтобы разрешить выполнение закодированных команд и избежать обнаружения AMSI.
Затем код Java запустил ряд команд PowerShell, которые загрузили архив 7zip и утилиту архивирования 7zip. Затем утилита использовалась для извлечения содержимого архива — исполняемого файла ProtonVPN и вредоносной DLL (nethost.dll), загруженной исполняемым файлом Proton.
Открытие
Затем злоумышленник получил имя пользователя цели с помощью whoami.exe и обнаружил сетевые ресурсы, к которым пользователь имеет доступ с помощью команды net user.
Боковая загрузка / Управление и контроль
Затем код Java запустил исполняемый файл ProtonVPN для загрузки nethost.dll, что создало сеансы, подключающиеся к виртуальным частным серверам, размещенным в России, Нидерландах и США. Это поведение вызвало срабатывание поведенческих обнаружений защиты конечных точек Sophos для загрузки неподписанной DLL.
Затем код из JAR-файла открывает еще один сеанс cmd.exe, снова настраивая его для UTF-8, и выполняет второй файл Java .jar (identity.jar) с помощью javaw.exe, передавая имя пользователя и домен Active Directory целевого пользователя в качестве параметров коду Java второго этапа.
Час спустя утилита архивации tar.exe использовалась Java-полезной нагрузкой второго этапа для извлечения файлов из сброшенного файла winter.zip в C:\ProgramData\. Это была вредоносная нагрузка Python, которая была развернута. Кроме того, был запущен ряд команд для выполнения локального обнаружения пользователей и сети — получения имени серверов сетевого домена и их IP-адреса.
Наконец, код Java второго этапа выполнил вредоносную полезную нагрузку Python, используя интерпретатор Python, включенный в сброшенные файлы, переименованные в debug.exe. Запущенные скрипты Python представляли собой набор бэкдоров.
Анализ вредоносного ПО
Рисунок 1: Скриншот кода Python из запутанной копии RPivot в архиве winter.zip, развернутом злоумышленниками STAC5143.
Код Python в полезной нагрузке winter.zip использовал лямбда-функцию (короткую анонимную функцию-выход, используемую в строке кода) для обфускации остальной части своего скрипта. Эта обфускирующая лямбда-функция соответствовала тем, которые ранее были замечены в связанных с FIN7 вредоносных загрузчиках Python .
Два компонента Python (166_65.py и 45_237_80.py ) были копиями общедоступного обратного прокси SOCKS под названием RPivot . Разработанный как легитимный также для использования тестировщиками на проникновение, RPivot Каждый из этих скриптов Python использовал разные IP-адреса для своего удаленного . Эти бэкдоры получали команды от удаленного соединения через порт 80. Другой скрипт (37_44.py) был скриптом RPivot, используемым для подключения к ретранслятору Tor.
Атрибуция
Sophos оценивает со средней уверенностью, что вредоносное ПО Python, использованное в этой атаке, связано с субъектами угроз, стоящими за FIN7/Sangria Tempest. Метод обфускации идентичен предыдущему, и известно, что FIN7 использует инструмент RPivot в атаках. Однако мы отмечаем, что используемые методы обфускации основаны на общедоступном коде, RPivot также общедоступн, и FIN7 ранее продавал свои инструменты другим киберпреступникам .
STAC5777
Как и в случае со STAC5143, несколько сотрудников целевых организаций подверглись атаке со стороны огромного количества спам-писем, за которыми последовало входящее сообщение Microsoft Teams от человека, представившегося представителем их внутренней ИТ-команды.
Сообщение Teams — от злоумышленников, ответственных за спам-сообщения — запрашивало звонок Teams для решения проблем со спамом. Но в отличие от инцидентов STAC5143, которые мы наблюдали, активность STAC5777 в гораздо большей степени опиралась на действия «руки на клавиатуре» и скриптовые команды, запускаемые субъектами угрозы напрямую, чем STAC5143.
Первоначальный доступ
В каждом из инцидентов, задокументированных Sophos MDR, злоумышленник проводил пользователя через процесс установки Microsoft Quick Assist через вызов Teams. Это использовалось для установления удаленного сеанса, который давал злоумышленнику контроль над устройством целевого лица.
У одного из клиентов была настроена интеграция с Sophos Office 365, что позволило MDR подтвердить, что злоумышленник использовал учетную запись Office365 «helpdesk@llladminhlpll.onmicrosoft.com» с IP-адреса 78.46.67[.]201 для инициирования этих сообщений.
Злоумышленник провел пользователя через установку и запуск инструмента удаленного доступа Microsoft Quick Assist. Пользователю было предложено найти приложение в Интернете, загрузить его с легитимного веб-сайта Microsoft, а затем запустить. Затем им было предложено предоставить злоумышленнику доступ для удаленного управления устройством.
Получив контроль над устройством, злоумышленник использовал веб-браузер для загрузки вредоносной нагрузки. В одном случае полезная нагрузка была загружена непосредственно с хоста, контролируемого злоумышленником. В других случаях она была разделена на две полезные нагрузки: kb641812-filter-pack-2024-1.dat и kb641812-filter-pack-2024-2.dat, поддомены blob.core.windows[.]net (хосты, связанные со службами хранения файлов Microsoft Azure). Затем они объединили два файла .dat в именованный pack.zip, а затем распаковали этот архив с помощью архивной утилиты tar.exe.
Это привело к созданию еще одного архивного файла в каталоге AppData пользователя по адресу OneDriveUpdate\upd2836a.bkt. Затем злоумышленник распаковал этот файл, записав файлы в ту же папку \OneDriveUpdate:
Легитимный, подписанный Microsoft исполняемый файл OneDriveStandaloneUpdaexe
Неподписанные библиотеки DLL из набора инструментов OpenSSL (libcrypto-3-x64.dll и libssl-3-x64.dll), загруженные исполняемым файлом OneDriveStandaloneUpdater
Подлинная подписанная копия vcruntime140.dll, библиотеки Microsoft, необходимой для OneDriveStandaloneUpdater.exe
Неизвестная DLL, winhttp.dll
Файл с именем settingsbackup.dat
SophosLabs проанализировала winhttp.dll и подтвердила, что она вредоносна. Она имела поддельные метаданные версии из легитимного файла ESET и была переименована, чтобы быть загруженной в память легитимным исполняемым файлом из-за перехвата порядка поиска DLL. DLL была способна собирать:
Сведения о системе и операционной системе
Информация о конфигурации
Учетные данные пользователя
Нажатие клавиш — функции Windows API GetKeyboardState, GetKeyState и get_KeySize.
SophosLabs не удалось определить точную природу файла settingsbackup.dat, но мы полагаем, что это зашифрованная полезная нагрузка, считываемая процессом, запускающим стороннюю загруженную DLL, и используемая в качестве загрузчика второго этапа.
После того, как файлы были размещены на пораженном хосте, специалисты Sophos MDR заметили, что злоумышленник открыл командную строку и внес следующие изменения в реестр Windows с помощью утилиты reg.exe:
Записи ключей реестра содержали IP-адреса, используемые для соединений управления и контроля, создаваемых вредоносным кодом winhttp.dll.
Упорство
После внесения других изменений конфигурации вручную через командную оболочку через соединение Quick Assist и начального выполнения законного двоичного файла «OneDriveStandaloneUpdater.exe», злоумышленник затем выполнил команду PowerShell для создания службы для автоматического запуска эксплуатируемого исполняемого файла. Команда PowerShell также создала файл .lnk для исполняемого файла в папке элементов автозагрузки устройства для сохранения персистентности после перезагрузки.
Исполнение
При запуске onedrivestandaloneupdate.exe загружал winhttp.dll, загрузчик, несущий бэкдор. Загрузчик считывал информацию о конфигурации, введенную злоумышленником, включая файл settingsbackup.dat, и обращался к нескольким IP-адресам, которые были вручную добавлены в конфигурацию системы злоумышленником.
Командование и контроль
Используя неподписанные драйверы OpenSSL toolkit, процесс OneDriveStandaloneUpdate создавал зашифрованные соединения команд и управления с набором удаленных хостов. IP-адреса хостов включали виртуальный частный сервер, управляемый хостинговой компанией, которая в прошлом использовалась российскими злоумышленниками.
Открытие
После того, как канал C2 был установлен , команда Sophos MDR наблюдала, как процесс OneDriveStandaloneUpdater.exe проводил сканирование с протоколом SMB для сопоставления сетевых хостов в среде клиентов. Злоумышленник также сканировал хосты протокола удаленного рабочего стола и удаленного управления Windows (WinRM), для подключения к которым в сети могли использоваться учетные данные целевого пользователя.
Боковое движение
Используя учетные данные целевого пользователя, злоумышленник предпринял попытки расширить доступ за пределы изначально скомпрометированной системы, ища доступ к домену, который можно было бы повысить для перемещения на другие хосты. В одной организации они использовали учетные данные домена целевого лица для подключения к VPN организации извне сети, а затем для входа на хосты RDP внутри сети. В другой организации они использовали Windows Remote Management (WinRM) для выполнения бокового перемещения.
Уклонение от обороны
В одном инциденте Sophos MDR наблюдал, как злоумышленник использовал бэкдор для удаления локальной интеграции многофакторной аутентификации на целевом устройстве. В другом случае злоумышленник безуспешно пытался удалить Sophos Endpoint Agent — действие, заблокированное защитой от несанкционированного доступа Sophos.
Сбор учетных данных и кража данных
До локализации компания Sophos MDR также наблюдала, как злоумышленник локально обращался к файлам через notepad.exe и Word, в названии которых содержалось слово «пароль».
В одном случае злоумышленники использовали утилиту mstsc.exe для доступа к двум файлам протокола удаленного рабочего стола (.rdp) с целью просмотра и редактирования их конфигурационных данных в поисках потенциального хранилища учетных данных.
Sophos MDR также наблюдал, как злоумышленники получали доступ к сетевой схеме одной целевой организации, составленной в Visio, вероятнее всего, для планирования дальнейших этапов горизонтального перемещения и воздействия атаки.
Влияние
В одном случае, обнаруженном в ходе поиска угроз среди всех клиентов Sophos MDR, злоумышленники попытались запустить программу-вымогатель Black Basta. Это было заблокировано защитой конечных точек Sophos.
Выводы
Компания Sophos внедрила средства обнаружения вредоносного ПО, используемого в этих кампаниях, в том числе:
STAC5143: ATK/RPivot-B, Python/Kryptic.IV, эвристическое обнаружение вредоносного использования Python библиотек операционной системы
STAC5777: Troj/Loader-DV для winhttp.dll STAC5777
Однако организациям следует предпринять дальнейшие шаги для предотвращения атак, основанных на этой тактике. Во-первых, если это не является абсолютно необходимым, организациям следует убедиться, что их положения об услугах O365 ограничивают вызовы Teams из внешних организаций или ограничивают эту возможность доверенными деловыми партнерами. Кроме того, приложения удаленного доступа, такие как Quick Assist, должны быть ограничены политикой, если они специально не используются службой технической поддержки организации. Sophos может блокировать нежелательное выполнение Quick Assist с помощью настроек управления приложениями в защите конечных точек.
Компания Sophos настоятельно рекомендует использовать интеграцию Microsoft Office 365 со средой безопасности для мониторинга источников потенциально вредоносного входящего трафика Teams или Outlook.
Организации также должны повышать осведомленность сотрудников об этих типах тактик — это не те типы вещей, которые обычно охватываются в антифишинговых тренингах. Сотрудники должны знать, кто на самом деле является их командой технической поддержки, и быть внимательными к тактикам, призванным создать ощущение срочности, на котором основаны эти виды атак, основанных на социальной инженерии.
Список индикаторов компрометации для этих кампаний доступен в репозитории Sophos GitHub .
Комментариев нет:
Отправить комментарий