Обнаружена новая атака на Windows и названы вредоносные файлы

Атакует изощренный злоумышленник.

Американский поставщик инструментов обнаружения, расследования и реагирования на угрозы Securonix заявил, что «раскрыл на прошлой недели скрытую кампанию, нацеленную на пользователей Windows с использованием вредоносных программ Cobalt Strike, которые, вероятно, доставлялись через фишинговые письма. Злоумышленникам удалось продвинуться, закрепиться и оставаться незамеченными в системах более двух недель».

Исследователи угроз Securonix Ден Юзвик и Тим Пек написали, что они не смогли определить ни происхождение атаки, ни вектор атаки. Но пара смогла сделать вывод, что она начинается с фишинговых писем, содержащих сжатые Zip-файлы с названием «20240739人员名单信息.zip» – что переводится как «Информация о списке персонала».

При нажатии на этот файл распаковывается архив, содержащий ссылку на файл под названием «违规远程控制软件人员名单.docx.lnk» — «Список людей, нарушивших правила использования программного обеспечения для удаленного управления».

Юзвик и Пек предположили, что названия файлов означают, что кампания, скорее всего, нацелена на «партнеров по бизнесу с конкретными связанными с Китаем коммерческими или государственными секторами…»

Каким бы ни был мотив, нажатие на эту ссылку приводит к выполнению кода, который запускается из вложенных каталогов с именами, ссылающимися на «MACOS».

В нескольких каталогах ниже скрываются файлы с именами dui70.dll и UI.exe.

Последний представляет собой переименованную версию легального исполняемого файла Windows под названием LicensingUI.exe — инструмента, который информирует пользователей о лицензировании и активации программного обеспечения.

«Легальный файл предназначен для импорта нескольких легальных DLL-файлов, один из которых — dui70.dll, и обычно должен находиться в C:\Windows\System32. Однако из-за уязвимости обхода пути DLL любая DLL, содержащая то же имя, может быть загружена при выполнении переименованного UI.exe файлом LNK», — пишут исследователи Securonix.

Им не удалось найти сообщений о методах загрузки DLL или перехвата с использованием LicensingUI.exe, так что, возможно, это новая тактика.

После запуска UI.exe вредоносная DLL, которая на самом деле является имплантом для печально известного набора инструментов для атак Cobalt Strike, приступает к работе и внедряется в двоичный файл Windows «runonce.exe». Этот исполняемый файл предоставляет злоумышленникам полный контроль над хостом.

Тот, кто руководит этой кампанией, затем развертывает несколько других вредоносных программ, а именно:

fpr.exe – Неизвестный исполняемый файл;

iox.exe – инструмент для переадресации портов и настройки прокси-соединений;

fscan.exe – Известный сканер в красном составе для определения активных хостов и открытых портов. Выходной файл – «result.txt»;

netspy.exe – сетевой разведывательный инструмент, используемый для захвата сетевого трафика или сканирования на предмет уязвимостей сети. Файлы журнала — «netspy.log» и «alive.txt»;

lld.exe – двоичный загрузчик шелл-кода, который в нашем случае загружал и выполнял сырой шелл-код, сохраненный в C:/Windows/Temp/tmp/tmp.log;

xxx.txt – то же самое, что и tmp.log до переименования;

tmp.log – файл, содержащий шелл-код, который будет выполнен lld.exe;

sharpdecryptpwd.exe – утилита командной строки, которая собирает и выводит кэшированные учетные данные из установленных приложений, таких как Navicat, TeamViewer, FileZilla, WinSCP и Xmanager;

pvefindaduser.exe – используется для перечисления пользователей Windows Active Directory (AD);

новый текстовый документ.txt – исследователи не смогли захватить этот файл и его действие неизвестно;

gogo_windows_amd64.exe – Похоже, что это связано с проектом с открытым исходным кодом "Nemo", который автоматизирует инструменты перечисления, такие как Nmap, Massscan и многие другие. Выводит файлы ".sock.lock" и "output.txt".

Вышеуказанные действия были выполнены последовательно и дали злоумышленникам большой объем информации, которую они, по-видимому, извлекли для других атак.

Компания Securonix наблюдала, как злоумышленники устанавливали постоянный доступ к сетям жертв и перемещались по сети, используя протокол удаленного рабочего стола.

Одной из целей является кража информации о конфигурации Active Directory, другой — публичные IP-адреса.

Исследователи Securonix написали, что все IP-адреса, которые, по их наблюдениям, использовались в этой атаке, размещались в Tencent, в том числе в его облачном хранилище объектов. Для публичных облаков не редкость обнаружить, что у них есть неприятные клиенты, но правительство Китая не смотрит благосклонно на своих технологических гигантов, когда они не защищают локальный интернет.

Поставщик систем безопасности назвал обнаруженную им кампанию SLOW#TEMPEST, поскольку тот, кто ее проводит, готов скрываться в течение недели или двух, преследуя свои цели.

Исследователи угроз Юзвик и Пек охарактеризовали атакующего как «высокоорганизованного и изощренного [и], вероятно, организованного опытным злоумышленником, имеющим опыт использования продвинутых фреймворков эксплуатации, таких как CobaltStrike, и широкого спектра других инструментов пост-эксплуатации».

Изображение сгенерировано ИИ

вопрос 1 из 10

Как ты проводишь тестирование?

А) Пробегаюсь по основным функциям — если работает, значит, всё норм!

Б) Следую чек-листам и проверяю каждый пункт. Ну, почти каждый.

В) Делаю полный анализ всего и ещё немного — даже у теста будут тесты.

Далее

вопрос 1 из 10

Как ты реагируешь, когда находишь баг?

А) «Эээ, это точно не моя проблема, так что дальше тестирую!»

Б) Сразу пишу в баг-трекер с комментарием, что разработчики опять налажали.

В) Праздную маленькую победу: нашёл ещё одну ошибку и спас человечество!

Далее

вопрос 1 из 10

Продукт вот-вот выходит в релиз, и времени на тесты почти нет. Что ты делаешь?

А) «Авось пронесёт!» — быстро пробегусь по основному сценарию и всё.

Б) Перепроверяю самые важные части, а мелочи — на потом.

В) Работаю, как супергерой: успеваю всё и даже больше, ведь я — последняя линия защиты!

Далее

вопрос 1 из 10

Что ты делаешь, если прод упал из-за бага?

А) Молча притворяюсь, что вообще не при делах, и тихо ухожу из чата.

Б) Возмущаюсь и кидаю ссылку на тикет: «Я же говорил, что это важно!»

В) Сразу беру вину на себя, чтобы показать, что баг-охотники всегда бдительны.

Далее

вопрос 1 из 10

Тебе нужно протестировать новую фичу, но документации по ней нет. Что будешь делать?

А) «На глазок сойдёт» — протестирую, как сам понял.

Б) Начну задавать кучу вопросов разработчикам, пока не выбью из них правду.

В) Пройду весь продукт вдоль и поперёк, даже если придётся писать документацию самому.

Далее

вопрос 1 из 10

Как ты относишься к автоматизированным тестам?

А) Зачем? Я и вручную справлюсь, если вдруг найду время.

Б) Вроде полезная штука, но пусть это лучше автоматизаторы делают.

В) Обожаю их! Настрою так, чтобы баги даже близко не подбирались.

Далее

вопрос 1 из 10

Когда коллеги просят протестировать их код, ты...

А) Пропускаешь это мимо ушей, пока кто-то другой не займётся.

Б) Соглашаешься, но проверяешь поверхностно, чтобы не увязнуть надолго.

В) Провожу настоящий краш-тест, чтобы коллеги потом сказали: «Ну ты и зануда!»

Далее