Обнаружена новая атака на Windows и названы вредоносные файлы

Атакует изощренный злоумышленник.

Американский поставщик инструментов обнаружения, расследования и реагирования на угрозы Securonix заявил, что «раскрыл на прошлой недели скрытую кампанию, нацеленную на пользователей Windows с использованием вредоносных программ Cobalt Strike, которые, вероятно, доставлялись через фишинговые письма. Злоумышленникам удалось продвинуться, закрепиться и оставаться незамеченными в системах более двух недель».

Исследователи угроз Securonix Ден Юзвик и Тим Пек написали, что они не смогли определить ни происхождение атаки, ни вектор атаки. Но пара смогла сделать вывод, что она начинается с фишинговых писем, содержащих сжатые Zip-файлы с названием «20240739人员名单信息.zip» – что переводится как «Информация о списке персонала».

При нажатии на этот файл распаковывается архив, содержащий ссылку на файл под названием «违规远程控制软件人员名单.docx.lnk» — «Список людей, нарушивших правила использования программного обеспечения для удаленного управления».

Юзвик и Пек предположили, что названия файлов означают, что кампания, скорее всего, нацелена на «партнеров по бизнесу с конкретными связанными с Китаем коммерческими или государственными секторами…»

Каким бы ни был мотив, нажатие на эту ссылку приводит к выполнению кода, который запускается из вложенных каталогов с именами, ссылающимися на «MACOS».

В нескольких каталогах ниже скрываются файлы с именами dui70.dll и UI.exe.

Последний представляет собой переименованную версию легального исполняемого файла Windows под названием LicensingUI.exe — инструмента, который информирует пользователей о лицензировании и активации программного обеспечения.

«Легальный файл предназначен для импорта нескольких легальных DLL-файлов, один из которых — dui70.dll, и обычно должен находиться в C:\Windows\System32. Однако из-за уязвимости обхода пути DLL любая DLL, содержащая то же имя, может быть загружена при выполнении переименованного UI.exe файлом LNK», — пишут исследователи Securonix.

Им не удалось найти сообщений о методах загрузки DLL или перехвата с использованием LicensingUI.exe, так что, возможно, это новая тактика.

После запуска UI.exe вредоносная DLL, которая на самом деле является имплантом для печально известного набора инструментов для атак Cobalt Strike, приступает к работе и внедряется в двоичный файл Windows «runonce.exe». Этот исполняемый файл предоставляет злоумышленникам полный контроль над хостом.

Тот, кто руководит этой кампанией, затем развертывает несколько других вредоносных программ, а именно:

fpr.exe – Неизвестный исполняемый файл;

iox.exe – инструмент для переадресации портов и настройки прокси-соединений;

fscan.exe – Известный сканер в красном составе для определения активных хостов и открытых портов. Выходной файл – «result.txt»;

netspy.exe – сетевой разведывательный инструмент, используемый для захвата сетевого трафика или сканирования на предмет уязвимостей сети. Файлы журнала — «netspy.log» и «alive.txt»;

lld.exe – двоичный загрузчик шелл-кода, который в нашем случае загружал и выполнял сырой шелл-код, сохраненный в C:/Windows/Temp/tmp/tmp.log;

xxx.txt – то же самое, что и tmp.log до переименования;

tmp.log – файл, содержащий шелл-код, который будет выполнен lld.exe;

sharpdecryptpwd.exe – утилита командной строки, которая собирает и выводит кэшированные учетные данные из установленных приложений, таких как Navicat, TeamViewer, FileZilla, WinSCP и Xmanager;

pvefindaduser.exe – используется для перечисления пользователей Windows Active Directory (AD);

новый текстовый документ.txt – исследователи не смогли захватить этот файл и его действие неизвестно;

gogo_windows_amd64.exe – Похоже, что это связано с проектом с открытым исходным кодом "Nemo", который автоматизирует инструменты перечисления, такие как Nmap, Massscan и многие другие. Выводит файлы ".sock.lock" и "output.txt".

Вышеуказанные действия были выполнены последовательно и дали злоумышленникам большой объем информации, которую они, по-видимому, извлекли для других атак.

Компания Securonix наблюдала, как злоумышленники устанавливали постоянный доступ к сетям жертв и перемещались по сети, используя протокол удаленного рабочего стола.

Одной из целей является кража информации о конфигурации Active Directory, другой — публичные IP-адреса.

Исследователи Securonix написали, что все IP-адреса, которые, по их наблюдениям, использовались в этой атаке, размещались в Tencent, в том числе в его облачном хранилище объектов. Для публичных облаков не редкость обнаружить, что у них есть неприятные клиенты, но правительство Китая не смотрит благосклонно на своих технологических гигантов, когда они не защищают локальный интернет.

Поставщик систем безопасности назвал обнаруженную им кампанию SLOW#TEMPEST, поскольку тот, кто ее проводит, готов скрываться в течение недели или двух, преследуя свои цели.

Исследователи угроз Юзвик и Пек охарактеризовали атакующего как «высокоорганизованного и изощренного [и], вероятно, организованного опытным злоумышленником, имеющим опыт использования продвинутых фреймворков эксплуатации, таких как CobaltStrike, и широкого спектра других инструментов пост-эксплуатации».

Изображение сгенерировано ИИ

вопрос 1 из 10

Зомби лезут в город, и у тебя есть пять минут на сборы. Что ты возьмёшь?

А) Лом, аптечку и рацию — всё для выживания.

Б) Мешок чипсов и плед, чтобы пересидеть хаос в уюте.

В) Все свои гаджеты, зарядки и любимую толстовку — кому нужна защита, если есть интернет?

Далее

вопрос 1 из 10

Как ты отреагируешь, когда на горизонте появятся первые зомби?

А) «Так, спокойно, мне нужно быстро придумать план спасения.»

Б) «Паникааааа! Где ближайшее укрытие?! Под кроватью норм?»

В) «Сфоткаю зомби, сделаю мемчик и отправлю в сторис.»

Далее

вопрос 1 из 10

Тебе предлагают возглавить отряд выживших. Как ты отреагируешь?

А) «Окей, но только если все будут слушаться моих приказов!»

Б) «Возглавить? Не-е, я за кем-нибудь пойду лучше.»

В) «Я сразу сказал, что лидер из меня так себе, давайте лучше посидим в интернете.»

Далее

вопрос 1 из 10

Что для тебя самое главное в условиях апокалипсиса?

А) Оружие и запас еды — без этого не выжить.

Б) Найти укрытие и не вылазить, пока все не успокоится.

В) Интернет и зарядка — если есть связь, значит, я жив.

Далее

вопрос 1 из 10

Твой друг превращается в зомби. Что ты будешь делать?

А) «Прости, бро, но нам придется тебя устранить… с грустью.»

Б) «Закрываю его в комнате и жду, может, найдут вакцину.»

В) «Сниму всё на видео для будущего влога: друг-зомби — это же контент!»

Далее

вопрос 1 из 10

Где ты будешь искать еду и ресурсы?

А) «В супермаркетах и аптеках — классика жанра.»

Б) «Лучше не выходить, вдруг зомби по дороге. Пережду голод.»

В) «Закажу доставку онлайн, если курьеры еще живы.»

Далее

вопрос 1 из 10

Что ты скажешь, когда все закончится и мир будет спасён?

А) «Ну, без меня тут бы точно всё развалилось.»

Б) «Спасибо всем, кто меня защищал — я бы сам не справился!»

В) «Уф, наконец-то вернули интернет. Мой VK просил новых видео.»

Далее