Подробное расследование показало, как злоумышленники проникли в корпоративную сеть, закрепились в среде и вывезли конфиденциальные данные, используя сочетание известных инструментов и кастомных утилит.
Краткое введение
Подробное описание вторжения началось в сентябре 2024 года: пользователь загрузил вредоносный файл, маскирующийся под легитимное приложение EarthTime. Этот исполняемый файл инициировал развертывание SectopRAT — .NET‑троянца удаленного доступа (RAT), обеспечивающего связь с серверами командования и контроля (C2). Атака завершилась успешной эксфильтрацией чувствительных данных на удалённый сервер, несмотря на последующее удаление злоумышленника из среды.
Как происходило вторжение
Ключевые этапы атаки были следующими:
- Начальная компрометация — загрузка и запуск исполняемого файла, выданного за EarthTime. Файл был подписан отозванным сертификатом, принадлежащим подозрительному подписи-центру, ранее замеченному в подписании образцов вредоносного ПО.
- Развертывание RAT — SectopRAT установил канал связи с C2 и обеспечил удалённый доступ злоумышленникам.
- Закрепление — использовались два основных механизма с привлечением фоновой службы передачи данных Windows (BITS). Исходный исполняемый файл копировался в другое место, переименовывался в вид легитимного инструмента отладки Chrome и в папке автозагрузки создавался ярлык для гарантированного запуска при входе пользователя в систему.
Повышение привилегий и перемещение по сети
Для расширения контроля злоумышленники применяли проверенные техники:
- Использование PsExec (Microsoft Sysinternals) для выполнения процессов с системными привилегиями.
- Техника lateral movement с применением RDP и инструмента Impacket WMIExec, позволившие перейти на другие хосты, включая контроллеры домена и серверы резервного копирования.
- Разведка сети осуществлялась через бэкдор Betruger, который выполнял команды разведки, собирая информацию об окружении, пользователях и группах домена.
Сбор и эксфильтрация данных
Для поиска и загрузки данных использовался пользовательский инструмент FS64.exe, автоматизировавший сбор файлов. Собранные данные сжимались и передавались при помощи WinSCP на FTP‑сервер в открытом виде (plaintext), что облегчило перехват и последующее использование информации.
Каналы C2 и семейства вредоносного ПО
Во время расследования были идентифицированы как минимум три независимых C2‑канала:
- SectopRAT — основной RAT для удалённого доступа и выполнения команд.
- SystemBC — выступал в качестве прокси и туннелирующего компонента; в ходе активности был создан компонент WakeWordEngine.dll, появившийся вскоре после установления связи с C2.
- Betruger — бэкдор для разведки и исполнения команд внутри сети.
Наличие нескольких параллельных C2 и разнообразие инструментов указывают на хорошо организованную кампанию с разделением ролей между компонентами.
Итоги и сопоставление с RaaS‑тактиками
Хотя злоумышленник был в конечном счёте удалён из среды, основная цель — эксфильтрация конфиденциальных данных — была достигнута. Тактика, методы и процедуры (TTP) совпадают с практиками, характерными для активных филиалов программ‑вымогателей, действующих по моделям «программа‑вымогатель как услуга» (RaaS), где предварительное проникновение и масштабная кража данных применяются для дальнейшего шантажа или продажи информации.
Инцидент демонстрирует скоординированный, многоэтапный подход: от социальной инженерии и поддельных подписей до использования легитимных инструментов (BITS, PsExec, RDP) и кастомных утилит для эксфильтрации.
Заметные индикаторы компрометации (IOC)
- Подписанные отозванные сертификаты, связанные с подозрительным центром подписи.
- Исполняемые файлы с именами, имитирующими легитимные приложения (например, имитация Chrome debugging tool).
- Файлы и компоненты: SectopRAT, SystemBC, Betruger, FS64.exe, WakeWordEngine.dll.
- Трафик на подозрительные IP‑адреса и передачи на FTP‑серверы в открытом виде.
Что это значит для организаций
Атака подчёркивает несколько ключевых рисков и требуемых мер:
- Необходимость мониторинга использования легитимных админских инструментов (PsExec, BITS, RDP) и обнаружения аномалий в их запуске и поведении.
- Верификация цифровых подписей и контроль за использованием отозванных или подозрительных сертификатов.
- Шифрование каналов передачи и запрет передачи конфиденциальных данных по протоколам в открытом виде (FTP без TLS).
- Сегментация сети и усиленный контроль доступа к контроллерам домена и серверам резервного копирования.
- Регулярное обнаружение и блокировка известных C2‑подключений и сигнатур вредоносного ПО.
Вывод
Этот инцидент — пример тщательно спланированной кампании, сочетающей социальную инженерию, злоупотребление легитимными инструментами и кастомные решения для сбора и вывоза данных. Он подтверждает, что операции, связанные с RaaS‑сценариями, продолжают представлять серьезную угрозу: защите корпоративных сетей требуется многоуровневый подход, включающий контроль подписей, мониторинг административных инструментов и защиту каналов передачи данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Вторжение RaaS: SectopRAT, SystemBC и масштабная эксфильтрация".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.