Ранее мы рассказывали о том, как в 1 полугодии 2024 года киберпреступники атаковали российские компании: какие отрасли выбирали в качестве свих целей, какие инструменты использовали и через какие уязвимости забирались в ИТ-инфраструктуры. Но перейдем от общего к частному.
Каждая группировка, атаки которой столкнулись эксперты Solar 4RAYS в своих расследованиях в первом полугодии, имеет собственный уникальный профиль. О части из них мы уже подробно рассказывали в отдельных публикациях в блоге, о некоторых рассказываем впервые.
Lifting Zmiy
Восточноевропейская (предположительно украинская) группировка, специализирующаяся на шпионских атаках и атаках, направленных на уничтожение инфраструктуры. Подробно о группе в этой статье:
Используемые инструменты
● mig-logcleaner
● NHAS/reverse_ssh
● ssh-it
● ssh-snake
● Empire
● kerbrute
Цели
Целями группы является шпионаж либо уничтожение инфраструктуры жертвы (если цели по сбору данных достигнуты или атака начала развиваться не по плану).
В наблюдавшихся нами атаках длительность проникновения варьировалась от одной недели до 3 месяцев. Основная масса наблюдаемых атак приходится на первый квартал 2024 года, при этом командные серверы, которые мы отслеживаем, находятся в активном состоянии по сей день.
Одна их характерных особенностей группировки в том, что для первоначального доступа она не использует сложные атаки и полагается на скомпрометированные учетные записи (украденные, подобранные). В некоторых случаях эксплуатируют уязвимости публично доступных сервисов. В частности, эта группировка размещала серверы управления на недостаточно защищенном оборудовании для управления лифтами.
Shedding Zmiy
Восточноевропейская (предположительно украинская) группировка, специализирующаяся на шпионских атаках и атаках, направленных на уничтожение инфраструктуры. Подробно рассказывали о группе в серии статей об инцидентах и вредоносных инструментах.
Используемые инструменты
● Mimikatz;
● SoftPerfect Network Scanner;
● nmap;
● fscan;
● Psexec;
● RemCom;
● ssh-snake
● chisel;
● resocks;
● gsocket;
● Metasploit;
● Sliver;
● Cobalt Strike.
Malware:
● CobInt;
● Ekipa RAT;
● DarkGate;
● SystemBC;
● Bulldog Backdoor;
● FaceFish;
● Kitsune;
● XDHijack loader;
● Nim loader;
● Spark RAT;
● BADSTATE framework.
Цели
Целями группы является шпионаж либо, как и в случае с Lifting Zmiy, уничтожение инфраструктуры организации. В некоторых случаях группировка публиковала украденные данные в открытом доступе. В своих атаках злоумышленники фокусируются на самых разных областях: от государственных организаций до телекоммуникационных, технологических и прочих компаний. Группа нередко взламывает публичные веб-приложения маленьких компаний, не представляющих для них какой-либо ценности с точки зрения шпионажа или уничтожения данных. Эти доступы группировка потом использует для скрытной доставки инструментов в атаках на свои настоящие цели. Для этих же целей используются легитимные ресурсы pastebin и webhook[.]site.
Так как Shedding Zmiy практикует шпионаж, длительность проникновения в инфраструктуру жертвы может быть очень большой, в расследованиях этого полугодия наблюдали атаки продолжительностью от недели до полутора лет.
Арсенал группы растет с течением времени, также атакующие продолжают оправдывать свое наименование и начинают использовать такое программное обеспечение, которое они ранее не использовали. В этом полугодии наблюдали еще не описанный в наших предыдущих статьях образец- SparkRAT.
Учитывая применение утилиты fscan и техники DLL sideloading, а также эксплуатацию уязвимости десериализации ViewState, активное злоупотребление которой с 2020 года свойственно азиатскими группировками, можно предположить, что Shedding Zmiy планомерно изучает опыт применения TTP групп из других регионов.
Obstinate Mogwai
Азиатская шпионская группировка, атакующая преимущественно российские государственные организации. Данную группу мы наблюдаем достаточно давно. Частично о ней мы рассказывали в материале про случаи эксплуатации уязвимости десериализации ненадёжных данных в параметре VIEWSTATE в среде .NET.
Используемые инструменты
● Donnect (новое семейство)
● DimanoRAT (новое семейство)
● Nbtscan
● SharpHound
● CMPSpy
● RDCMan
● SmbExec
● Azazel
● Venom proxy
● Inveigh
● Antak
● SessionGopher
● dns-dump
● autokerberoast
Цели
Всегда целью атак был шпионаж с отсутствием каких-либо попыток проведения деструктивных активностей.
Moonshine Trickster (Werewolves)
Восточноевропейская группировка.
Используемые инструменты
● LockBit
● Cobalt Strike
Цели
Пока что мы не наблюдали полноценных атак этой группировки, а лишь видели артефакты, указывающие на ее присутствие в инфраструктурах некоторых наших клиентов. В связи с этим не можем судить о целях группы со стопроцентной уверенностью, но судя по сообщениям других компаний, атакующие шифруют инфраструктуры с использованием LockBit для вымогательства. В апреле и мае мы наблюдали активные фишинговые рассылки на наших заказчиках от этой группы. Нам удалось вовремя остановить развитие этих атак.
Фишинговые письма содержали RTF-файл с уязвимостью CVE-2017-11882. В случае успешной эксплуатации на атакованный хост загружается .hta файл, который выполняет powershell-команду. Команда, в свою очередь, распаковывает и запускает Cobalt Strike Stager, который предназначен для загрузки и выполнения Cobalt Strike Beacon.
Morbid Trickster (Morlock)
Восточноевропейская (предположительно украинская) группировка.
Используемые инструменты
● LockBit
● Babuk
● Anydesk
● Ngrok
● Mimikatz
● Sliver
● Localtonet
● gsocket
● Meterpreter
● Chisel
● Resocks
● Facefish
● SoftPerfect Network Scanner
● XenAllPasswordPro
Цели
Вымогательство через шифрование инфраструктуры жертвы. Вотличие от группы Shedding Zmiy, они не пытаются получить доступ к данным, в связи с чем их атаки гораздо более краткосрочны. В расследованиях, в которых мы принимали участие, атаки занимали от 2 недель до 2 месяцев.
Можно отметить, что индикаторы группы достаточно сильно пересекаются с инструментами и индикаторами Shedding Zmiy, при этом наблюдается устойчивая разница в тактиках техниках и процедурах, поэтому данную активность выделяем в отдельную группу.
Fairy Trickster (Head Mare)
Восточноевропейская (предположительно, украинская) группировка.
Используемые инструменты
● PhantomRAT
Цели
Это вымогательство и уничтожение данных.
Мы наблюдали только фишинговые рассылки на своих заказчиков, которые не привели к развитию таких атак, в связи с этим не располагаем полным набором тактик, техник и процедур группы. При этом, согласно заявлениям других компаний, фишинг с указанным инструментом они атрибутируют группе Head Mare (само название, одноименно с названием Telegram-канала). Указанная группа взяла на себя ответственность за громкую атаку на компанию CDEK в конце мая 2024 года. В результате атаки была компания приостановлена деятельность на несколько недель.
NGC6160 (Stone wolf)
Происхождение пока неизвестно.
Используемые инструменты
● Meduza Stealer
Цели
Цели группы неизвестны, предположительно — это кража учетных данных.
Мы наблюдали только фишинговые рассылки в адрес заказчиков, которые не привели к развитию атаки. В связи с этим Solar 4RAYS не располагает полным набором тактик, техник и процедур группы.
Meduza Stealer, который исследован нами в различных фишинговых атаках, - это коммерческий вредоносный инструмент, который содержит механизм самоуничтожения при обнаружении системы на территории СНГ и Туркменистана. Механизм, предположительно, встроил создатель инструмента, но NGC6160, тем не менее, атакует цели на территории “запретных стран”. Либо участники группировки удалили блокирующие функции, либо просто используют его, нарушая “пользовательское соглашение” с создателем.
NGC4020
Происхождение пока неизвестно.
Используемые инструменты
● QuasarRAT
● java-reverse-tcp
● Кастомная утилита для обхода АВПО
Цели
Предположительной целью группы являлось построение ботнета, так как не наблюдалось попыток продвижения вглубь инфраструктуры, также не было какого-то деструктивного воздействия.
Для первоначального проникновения использовался эксплойт для приложения, публично доступного по нестандартному порту. После успешной атаки на системах размещались утилиты QuasarRAT и реверс шелл на java. Обе указанные утилиты размещаются в свободном доступе, в связи с чем атрибуцию по ним проводить не имеет смысла. Также в атаках использовалась кастомная утилита для обхода АВПО, эксплуатирующая CVE-2023-36802.