Обнаружена новая атака на Windows и названы вредоносные файлы

Атакует изощренный злоумышленник.

Американский поставщик инструментов обнаружения, расследования и реагирования на угрозы Securonix заявил, что «раскрыл на прошлой недели скрытую кампанию, нацеленную на пользователей Windows с использованием вредоносных программ Cobalt Strike, которые, вероятно, доставлялись через фишинговые письма. Злоумышленникам удалось продвинуться, закрепиться и оставаться незамеченными в системах более двух недель».

Исследователи угроз Securonix Ден Юзвик и Тим Пек написали, что они не смогли определить ни происхождение атаки, ни вектор атаки. Но пара смогла сделать вывод, что она начинается с фишинговых писем, содержащих сжатые Zip-файлы с названием «20240739人员名单信息.zip» – что переводится как «Информация о списке персонала».

При нажатии на этот файл распаковывается архив, содержащий ссылку на файл под названием «违规远程控制软件人员名单.docx.lnk» — «Список людей, нарушивших правила использования программного обеспечения для удаленного управления».

Юзвик и Пек предположили, что названия файлов означают, что кампания, скорее всего, нацелена на «партнеров по бизнесу с конкретными связанными с Китаем коммерческими или государственными секторами…»

Каким бы ни был мотив, нажатие на эту ссылку приводит к выполнению кода, который запускается из вложенных каталогов с именами, ссылающимися на «MACOS».

В нескольких каталогах ниже скрываются файлы с именами dui70.dll и UI.exe.

Последний представляет собой переименованную версию легального исполняемого файла Windows под названием LicensingUI.exe — инструмента, который информирует пользователей о лицензировании и активации программного обеспечения.

«Легальный файл предназначен для импорта нескольких легальных DLL-файлов, один из которых — dui70.dll, и обычно должен находиться в C:\Windows\System32. Однако из-за уязвимости обхода пути DLL любая DLL, содержащая то же имя, может быть загружена при выполнении переименованного UI.exe файлом LNK», — пишут исследователи Securonix.

Им не удалось найти сообщений о методах загрузки DLL или перехвата с использованием LicensingUI.exe, так что, возможно, это новая тактика.

После запуска UI.exe вредоносная DLL, которая на самом деле является имплантом для печально известного набора инструментов для атак Cobalt Strike, приступает к работе и внедряется в двоичный файл Windows «runonce.exe». Этот исполняемый файл предоставляет злоумышленникам полный контроль над хостом.

Тот, кто руководит этой кампанией, затем развертывает несколько других вредоносных программ, а именно:

fpr.exe – Неизвестный исполняемый файл;

iox.exe – инструмент для переадресации портов и настройки прокси-соединений;

fscan.exe – Известный сканер в красном составе для определения активных хостов и открытых портов. Выходной файл – «result.txt»;

netspy.exe – сетевой разведывательный инструмент, используемый для захвата сетевого трафика или сканирования на предмет уязвимостей сети. Файлы журнала — «netspy.log» и «alive.txt»;

lld.exe – двоичный загрузчик шелл-кода, который в нашем случае загружал и выполнял сырой шелл-код, сохраненный в C:/Windows/Temp/tmp/tmp.log;

xxx.txt – то же самое, что и tmp.log до переименования;

tmp.log – файл, содержащий шелл-код, который будет выполнен lld.exe;

sharpdecryptpwd.exe – утилита командной строки, которая собирает и выводит кэшированные учетные данные из установленных приложений, таких как Navicat, TeamViewer, FileZilla, WinSCP и Xmanager;

pvefindaduser.exe – используется для перечисления пользователей Windows Active Directory (AD);

новый текстовый документ.txt – исследователи не смогли захватить этот файл и его действие неизвестно;

gogo_windows_amd64.exe – Похоже, что это связано с проектом с открытым исходным кодом "Nemo", который автоматизирует инструменты перечисления, такие как Nmap, Massscan и многие другие. Выводит файлы ".sock.lock" и "output.txt".

Вышеуказанные действия были выполнены последовательно и дали злоумышленникам большой объем информации, которую они, по-видимому, извлекли для других атак.

Компания Securonix наблюдала, как злоумышленники устанавливали постоянный доступ к сетям жертв и перемещались по сети, используя протокол удаленного рабочего стола.

Одной из целей является кража информации о конфигурации Active Directory, другой — публичные IP-адреса.

Исследователи Securonix написали, что все IP-адреса, которые, по их наблюдениям, использовались в этой атаке, размещались в Tencent, в том числе в его облачном хранилище объектов. Для публичных облаков не редкость обнаружить, что у них есть неприятные клиенты, но правительство Китая не смотрит благосклонно на своих технологических гигантов, когда они не защищают локальный интернет.

Поставщик систем безопасности назвал обнаруженную им кампанию SLOW#TEMPEST, поскольку тот, кто ее проводит, готов скрываться в течение недели или двух, преследуя свои цели.

Исследователи угроз Юзвик и Пек охарактеризовали атакующего как «высокоорганизованного и изощренного [и], вероятно, организованного опытным злоумышленником, имеющим опыт использования продвинутых фреймворков эксплуатации, таких как CobaltStrike, и широкого спектра других инструментов пост-эксплуатации».

Изображение сгенерировано ИИ

вопрос 1 из 10

Ты придумал идею стартапа. Что это?

А) Революционная технология, которая спасёт человечество от загрязнения.

Б) Что-то с криптовалютами — это модно, а значит, выстрелит.

В) Новая комбинация кофейни, кальянной и бара йоги. Почему бы нет?

Далее

вопрос 1 из 10

Ты придумал идею стартапа. Что это?

А) Проводишь презентацию с впечатляющими графиками и будущими планами захвата рынка.

Б) Запускаешь хайповое видео в соцсетях и собираешь толпу через краудфандинг.

В) Зовёшь своих друзей, заказываешь пиццу и говоришь: «Ну, пацаны, у меня идея.»

Далее

вопрос 1 из 10

Твой проект внезапно начал терять популярность. Твои действия?

А) Оцениваешь ошибки, меняешь стратегию и влетаешь с новыми идеями на рынок.

Б) Делаешь ребрендинг, кидаешь новые мемы и запускаешь очередную акцию «Только сегодня!»

В) Закрываешься на недельку в баре и думаешь: «Ну, было весело пока шло.»

Далее

вопрос 1 из 10

Какие технологии ты используешь в своём стартапе?

А) Искусственный интеллект, электрокары, нейросети — полный пакет будущего.

Б) Всё, что хайпово: блокчейн, метавселенная и дополненная реальность.

В) Эксклюзивные капучино и массаж во время занятий йогой.

Далее

вопрос 1 из 10

Где ты видишь свой стартап через пять лет?

А) В списке компаний, которые изменили мир — как минимум, ты рядом с Tesla.

Б) В ленте новостей с заголовком: «Стартап года по версии Forbes.»

В) В уютной кофейне, где клиенты расслабляются и слушают медитативную музыку.

Далее

вопрос 1 из 10

Как ты справляешься с критикой в адрес твоего стартапа?

А) Принимаешь конструктивную критику и адаптируешь свой проект. Умные учатся.

Б) Просто делаешь вирусный мем в ответ и поднимаешь волну хайпа.

В) Игнорируешь. «Хейтеры будут ненавидеть», а мне ещё надо йогурт закупить для клиентов.

Далее

вопрос 1 из 10

У тебя появился конкурент с похожей идеей. Что ты сделаешь?

А) Проанализируешь его слабые стороны и превзойдёшь своим инновационным подходом.

Б) Попробуешь переманить его аудиторию при помощи вирусных акций и мемов.

В) Попробуешь договориться о совместных занятиях йогой и кальянными вечерами.

Далее