Cobalt Strike и Pypykatz открывают путь к полному контролю над сетью.
Недавно устраненная уязвимость в гипервизорах VMware ESXi активно используется несколькими группировками, занимающимися вымогательством, для получения повышенных прав и развертывания вредоносного ПО, шифрующего файлы.
Эти атаки используют уязвимость CVE-2024-37085 (оценка CVSS: 6.8), позволяющую обойти аутентификацию при интеграции с Active Directory и получить административный доступ к хосту.
Компания VMware, принадлежащая Broadcom, в июньском консультативном отчете отметила, что злоумышленник с достаточными правами в Active Directory может получить полный доступ к ESXi-хосту, используя настройки AD для управления пользователями. Это возможно путем создания новой группы AD под названием «ESX Admins» и добавления в нее пользователя или переименования любой группы в домене в «ESX Admins».
Microsoft в своем анализе, опубликованном 29 июля, сообщила, что группы вымогателей, такие как Storm-0506, Storm-1175, Octo Tempest и Manatee Tempest, используют эту технику для развертывания Akira и Black Basta. Исследователи подчеркнули, что ESXi-гипервизоры, подключенные к домену Active Directory, по умолчанию предоставляют полные административные права любому члену доменной группы с именем «ESX Admins». При этом ESXi не проверяет, существует ли такая группа на самом деле.
В одной из атак Storm-0506 на неназванную инженерную фирму в Северной Америке, злоумышленники использовали уязвимость для повышения прав на ESXi-гипервизорах после первоначального доступа, полученного с помощью QakBot и другой уязвимости в драйвере Windows CLFS ( CVE-2023-28252, оценка CVSS: 7.8).
Затем злоумышленники развернули Cobalt Strike и Pypykatz (Python-версию Mimikatz) для кражи учетных данных доменного администратора и дальнейшего распространения по сети. Для сохранения присутствия хакеры использовали имплант SystemBC и получили доступ к ESXi для развёртывания Black Basta.
Также зафиксированы попытки взлома RDP-подключений для бокового перемещения и дальнейшего развёртывания Cobalt Strike и SystemBC. Злоумышленники пытались изменить настройки Microsoft Defender Antivirus для избежания обнаружения.
Компания Mandiant, принадлежащая Google, сообщила, что финансово мотивированная группировка UNC4393 использует начальный доступ через бэкдор на C/C++ под кодовым названием ZLoader для развертывания Black Basta, отходя от использования QakBot и DarkGate.
Mandiant отмечает, что UNC4393 демонстрирует готовность к сотрудничеству с несколькими дистрибутивными кластерами для достижения своих целей. Последняя волна активности ZLoader стартовала в начале этого года и в основном распространяется через вредоносную рекламу, что заметно отличается от предыдущего метода, нацеленного на фишинг.
В ходе атак используется начальный доступ для развертывания Cobalt Strike Beacon и других инструментов для разведки. Для бокового перемещения используются RDP и SMB, а для сохранения присутствия — SystemBC.
Загрузчик ZLoader, который вернулся в арсенал злоумышленников в прошлом году, активно развивается. Новые вариации распространяются через бэкдор на PowerShell под названием PowerDash.
За последние годы вымогатели активно используют новые методы для максимизации воздействия и обхода обнаружения, все чаще нацеливаясь на ESXi-гипервизоры и пользуясь новыми уязвимостями в интернет-ориентированных серверах.
Например, вымогатель Qilin, изначально разработанный на языке Go, теперь переписан на Rust для повышения безопасности. Недавние атаки с использованием Qilin нацелены на слабые места в Fortinet и Veeam Backup & Replication для начального доступа. Злоумышленники используют инструмент Killer Ultra для отключения программ EDR и очистки журналов событий Windows, чтобы скрыть следы компрометации.
Организациям рекомендуется устанавливать последние обновления ПО, соблюдать гигиену учётных данных, применять двухфакторную аутентификацию и защищать критически важные ресурсы с помощью соответствующих процедур мониторинга и планов восстановления.
