Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Makop (Phobos): RDP‑векторы, повышение привилегий и GuLoader

1
3 мин
Киберисследователи зафиксировали волну атак с использованием вымогателя Makop — варианта Phobos, в которых злоумышленники целенаправленно эксплуатируют протокол удалённого рабочего стола (RDP). Основной упор делается на компании с ослабленными мерами защиты, в частности — на индийский бизнес. Атаки обычно стартуют с несанкционированного доступа, полученного методом грубой силы или «dictionary»‑атак на уязвимые RDP‑учётные записи. Частая причина успешности таких входов — отсутствие многофакторной аутентификации (MFA) у целевых организаций. Оказавшись в сети жертвы, операторы Makop приступают к расширению контроля и подготовке к шифрованию. Для разведки и перемещения внутри сетевой инфраструктуры злоумышленники применяют популярные сетевые сканеры: Эти инструменты позволяют находить уязвимые системы и планировать дальнейшие шаги по проникновению и распространению внутри сети. Для временного отключения защитных средств злоумышленники используют облегчённые «AV Killers», среди которых упом
Оглавление

Киберисследователи зафиксировали волну атак с использованием вымогателя Makop — варианта Phobos, в которых злоумышленники целенаправленно эксплуатируют протокол удалённого рабочего стола (RDP). Основной упор делается на компании с ослабленными мерами защиты, в частности — на индийский бизнес.

Как начинаются атаки

Атаки обычно стартуют с несанкционированного доступа, полученного методом грубой силы или «dictionary»‑атак на уязвимые RDP‑учётные записи. Частая причина успешности таких входов — отсутствие многофакторной аутентификации (MFA) у целевых организаций. Оказавшись в сети жертвы, операторы Makop приступают к расширению контроля и подготовке к шифрованию.

Инструменты обнаружения и перемещения внутри сети

Для разведки и перемещения внутри сетевой инфраструктуры злоумышленники применяют популярные сетевые сканеры:

  • NetScan
  • Advanced IP Scanner

Эти инструменты позволяют находить уязвимые системы и планировать дальнейшие шаги по проникновению и распространению внутри сети.

Обход средств защиты и повышение привилегий

Для временного отключения защитных средств злоумышленники используют облегчённые «AV Killers», среди которых упоминаются Defender Control и Disable Defender. Это создаёт окно возможностей для эксплуатации известных уязвимостей и развертывания последующих модулей вредоносного ПО.

Ключевая фаза — локальное повышение привилегий (LPE). В кампании Makop отмечено использование ряда уязвимостей Windows для получения системных привилегий, среди которых:

  • CVE-2017-0213
  • CVE-2018-8639
  • CVE-2021-41379
  • CVE-2016-0099

Все перечисленные уязвимости имеют общедоступный PoC, что облегчает их эксплуатацию. Группа поддерживает разнообразный набор LPE‑инструментов, что повышает устойчивость атаки при неудаче одного из методов.

Кража учётных данных и расширение доступа

Получение и извлечение учётных данных — ещё один важнейший элемент операций Makop. В арсенале злоумышленников отмечаются:

  • Mimikatz
  • LaZagne
  • NetPass

Вкупе с инструментами грубой силы и восстановления учётных записей (CrackAccount, AccountRestore) это позволяет злоумышленникам распространять доступ к дополнительным аккаунтам и усиливать влияние на инфраструктуру жертвы.

Доставщики полезной нагрузки

В качестве механизма доставки последующих полезных нагрузок выявлен GuLoader. Использование загрузчиков соответствует общей тенденции среди операторов вымогателей, стремящихся гибко разворачивать дополнительные модули.

География атак

Отмечено, что примерно 55% атак Makop приходится на Индию — это указывает на целенаправленность на среды с более слабыми мерами безопасности. Также зафиксированы инциденты в Бразилии, Германии и спорадически в других странах.

«Оказавшись в среде жертвы, операторы Makop используют различные тактические приёмы для облегчения своей вредоносной деятельности» — ключевое наблюдение отчёта.

Что такое значит для организаций

С учётом описанной тактики злоумышленников, компании, в частности малые и средние предприятия, должны учитывать следующие риски и меры:

  • Защищать доступ по RDP: ограничивать доступ по сети, использовать VPN и/или jump‑hosts;
  • Внедрять и требовать MFA для удалённого доступа;
  • Своевременно устанавливать патчи для устранения известных уязвимостей, включая перечисленные CVE;
  • Мониторить подозрительную сетевую активность и использование сканеров, а также попытки отключения защитных средств;
  • Ограничивать хранение и наполнение учётных данных, применять надёжные средства управления секретами.

Наблюдаемая комбинация грубой силы, LPE‑эксплойтов и инструментов для кражи учётных данных делает кампании Makop гибкими и устойчивыми. Организациям рекомендуется повысить базовую кибергигиену и внимание к удалённому доступу, чтобы снизить риск успешной компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Makop (Phobos): RDP‑векторы, повышение привилегий и GuLoader".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются