Обнаружена новая атака на Windows и названы вредоносные файлы

Атакует изощренный злоумышленник.

Американский поставщик инструментов обнаружения, расследования и реагирования на угрозы Securonix заявил, что «раскрыл на прошлой недели скрытую кампанию, нацеленную на пользователей Windows с использованием вредоносных программ Cobalt Strike, которые, вероятно, доставлялись через фишинговые письма. Злоумышленникам удалось продвинуться, закрепиться и оставаться незамеченными в системах более двух недель».

Исследователи угроз Securonix Ден Юзвик и Тим Пек написали, что они не смогли определить ни происхождение атаки, ни вектор атаки. Но пара смогла сделать вывод, что она начинается с фишинговых писем, содержащих сжатые Zip-файлы с названием «20240739人员名单信息.zip» – что переводится как «Информация о списке персонала».

При нажатии на этот файл распаковывается архив, содержащий ссылку на файл под названием «违规远程控制软件人员名单.docx.lnk» — «Список людей, нарушивших правила использования программного обеспечения для удаленного управления».

Юзвик и Пек предположили, что названия файлов означают, что кампания, скорее всего, нацелена на «партнеров по бизнесу с конкретными связанными с Китаем коммерческими или государственными секторами…»

Каким бы ни был мотив, нажатие на эту ссылку приводит к выполнению кода, который запускается из вложенных каталогов с именами, ссылающимися на «MACOS».

В нескольких каталогах ниже скрываются файлы с именами dui70.dll и UI.exe.

Последний представляет собой переименованную версию легального исполняемого файла Windows под названием LicensingUI.exe — инструмента, который информирует пользователей о лицензировании и активации программного обеспечения.

«Легальный файл предназначен для импорта нескольких легальных DLL-файлов, один из которых — dui70.dll, и обычно должен находиться в C:\Windows\System32. Однако из-за уязвимости обхода пути DLL любая DLL, содержащая то же имя, может быть загружена при выполнении переименованного UI.exe файлом LNK», — пишут исследователи Securonix.

Им не удалось найти сообщений о методах загрузки DLL или перехвата с использованием LicensingUI.exe, так что, возможно, это новая тактика.

После запуска UI.exe вредоносная DLL, которая на самом деле является имплантом для печально известного набора инструментов для атак Cobalt Strike, приступает к работе и внедряется в двоичный файл Windows «runonce.exe». Этот исполняемый файл предоставляет злоумышленникам полный контроль над хостом.

Тот, кто руководит этой кампанией, затем развертывает несколько других вредоносных программ, а именно:

fpr.exe – Неизвестный исполняемый файл;

iox.exe – инструмент для переадресации портов и настройки прокси-соединений;

fscan.exe – Известный сканер в красном составе для определения активных хостов и открытых портов. Выходной файл – «result.txt»;

netspy.exe – сетевой разведывательный инструмент, используемый для захвата сетевого трафика или сканирования на предмет уязвимостей сети. Файлы журнала — «netspy.log» и «alive.txt»;

lld.exe – двоичный загрузчик шелл-кода, который в нашем случае загружал и выполнял сырой шелл-код, сохраненный в C:/Windows/Temp/tmp/tmp.log;

xxx.txt – то же самое, что и tmp.log до переименования;

tmp.log – файл, содержащий шелл-код, который будет выполнен lld.exe;

sharpdecryptpwd.exe – утилита командной строки, которая собирает и выводит кэшированные учетные данные из установленных приложений, таких как Navicat, TeamViewer, FileZilla, WinSCP и Xmanager;

pvefindaduser.exe – используется для перечисления пользователей Windows Active Directory (AD);

новый текстовый документ.txt – исследователи не смогли захватить этот файл и его действие неизвестно;

gogo_windows_amd64.exe – Похоже, что это связано с проектом с открытым исходным кодом "Nemo", который автоматизирует инструменты перечисления, такие как Nmap, Massscan и многие другие. Выводит файлы ".sock.lock" и "output.txt".

Вышеуказанные действия были выполнены последовательно и дали злоумышленникам большой объем информации, которую они, по-видимому, извлекли для других атак.

Компания Securonix наблюдала, как злоумышленники устанавливали постоянный доступ к сетям жертв и перемещались по сети, используя протокол удаленного рабочего стола.

Одной из целей является кража информации о конфигурации Active Directory, другой — публичные IP-адреса.

Исследователи Securonix написали, что все IP-адреса, которые, по их наблюдениям, использовались в этой атаке, размещались в Tencent, в том числе в его облачном хранилище объектов. Для публичных облаков не редкость обнаружить, что у них есть неприятные клиенты, но правительство Китая не смотрит благосклонно на своих технологических гигантов, когда они не защищают локальный интернет.

Поставщик систем безопасности назвал обнаруженную им кампанию SLOW#TEMPEST, поскольку тот, кто ее проводит, готов скрываться в течение недели или двух, преследуя свои цели.

Исследователи угроз Юзвик и Пек охарактеризовали атакующего как «высокоорганизованного и изощренного [и], вероятно, организованного опытным злоумышленником, имеющим опыт использования продвинутых фреймворков эксплуатации, таких как CobaltStrike, и широкого спектра других инструментов пост-эксплуатации».

Изображение сгенерировано ИИ

вопрос 1 из 10

Ты только что получил баг-репорт от тестировщика. Твои действия?

А) Начну гуглить ошибку и читать Stack Overflow. Надеюсь, кто-то уже с этим сталкивался!

Б) Попробую сначала сам, но, если что, спрошу у коллег.

В) Исправлю баг, но сначала напишу тестировщику, что это фича, а не баг.

Далее

вопрос 1 из 10

Как ты относишься к комментированию кода?

А) Комментарии? А разве это не для слабоумных? Я и сам-то еле понимаю, что написал.

Б) Комментирую иногда, но чаще надеюсь, что мне повезёт и всё будет понятно без этого.

В) Мой код понятен даже без комментариев. Но иногда пишу комментарии для джунов, пусть учатся.

Далее

вопрос 1 из 10

У тебя сломался билд прямо перед дедлайном. Что ты сделаешь?

А) Паника!!! Быстро в гугл, может, кто-то уже нашел решение.

Б) Подожду, пока коллега поможет. Не хочется случайно всё сломать.

В) Я просто перезапущу билд и помедитирую. Если не починится, всё равно скажу, что это сервер виноват.

Далее

вопрос 1 из 10

Как ты выбираешь инструменты для разработки?

А) Беру первое, что предлагают на курсах. Главное, чтобы не тупить сильно.

Б) Пробую несколько вариантов, потом решаю, что лучше подходит.

В) Только самые последние и лучшие инструменты — я же профи, у меня всегда должно быть всё на уровне.

Далее

вопрос 1 из 10

Что ты чувствуешь, когда видишь Legacy-код?

А) Страх и боль. Лучше бы этого вообще не было в моем поле зрения.

Б) Вздохну тяжело, но начну разбираться, хоть и с опаской.

В) «Это я видел в 2005, справлюсь!» — и иду чинить без паники.

Далее

вопрос 1 из 10

Как ты относишься к ревью кода?

А) Мне кажется, что меня сейчас засмеют. Лучше бы вообще не трогали.

Б) Иногда прислушиваюсь, иногда делаю по-своему. Но в целом норм.

В) Я делаю ревью и иногда говорю: «Ну, это же джун написал, понятно.»

Далее

вопрос 1 из 10

Коллега попросил тебя объяснить какую-то сложную тему. Как ты поступишь?

А) Брошу ему ссылку на YouTube — пусть сам разбирается.

Б) Объясню своими словами, но, если сам не уверен, подгляжу в гугл.

В) Проведу мини-лекцию с презентацией и примерами, ведь я тут гуру!

Далее