Специалисты Positive Technologies выявили новую, ранее неизвестную APT-группировку ChamelGang, первые атаки которой были зафиксированы в марте 2021 года. Основными целями хакеров в России пока являются организации топливно-энергетического комплекса и авиационной промышленности, а интерес злоумышленников направлен на хищение данных из скомпрометированных сетей.
Свое название ChamelGang (от англ. chameleon) группировка получила за использование правдоподобных фишинговых доменов и особенностей операционных систем для маскировки малвари и сетевой инфраструктуры. Например, злоумышленники регистрируют фишинговые домены, имитирующие легитимные сервисы крупных международных компаний (Microsoft, TrendMicro, McAfee, IBM и Google), в том числе сервисы поддержки, доставки контента и обновлений.
Так, в ходе изучения активности группировки специалисты обнаружили домены newtrendmicro.com, centralgoogle.com, microsoft-support.net, cdn-chrome.com, mcafee-upgrade.com. Также на своих серверах хакеры размещали SSL-сертификаты, которые имитировали легитимные (github.com, www.ibm.com, jquery.com, update.microsoft-support.net).
Исследователи пишут, что ChamelGang в основном использует актуальный сегодня тип атак — trusted relationship. Так, в одном случае для получения доступа в сеть целевого предприятия хакеры скомпрометировали дочернюю организацию, используя уязвимую версию веб-приложения на платформе с открытым исходным кодом JBoss Application Server. Проэксплуатировав уязвимость CVE-2017-12149, закрытую Red Hat более четырех лет назад, хакеры получили возможность удаленного исполнения команд на узле.
Спустя две недели (что, по оценке экспертов Positive Technologies, очень быстро) группа смогла скомпрометировать головную компанию: злоумышленники узнали словарный пароль локального администратора на одном из серверов в изолированном сегменте и проникли в ее сеть через RDP. Оставаясь необнаруженными, атакующие находились в корпоративной сети в течение трех месяцев; изучив ее, они получили контроль над большей ее частью, включая критически важные серверы и узлы в разных сегментах. Как показало расследование, группировку интересовали данные, которые им и удалось похитить.
Во втором случае для проникновения в инфраструктуру цели злоумышленники воспользовались цепочкой связанных уязвимостей ProxyShell, обнаруженных в Microsoft Exchange летом текущего года (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Хакеры получили доступ к почтовым серверам компании использовав бэкдор, который на момент атаки не определялся большинством антивирусных решений. Как и в первом случае, группировка была нацелена на хищение данных, однако оперативное обнаружение атаки позволило предотвратить кражу информации: злоумышленники присутствовали в инфраструктуре атакованной организации всего восемь дней и значимого ущерба нанести не успели.
Отличительной особенностью атак ChamelGang является использование новой, ранее никем не описанной малвари ProxyT, BeaconLoader и бэкдора DoorMe. Последний относится к пассивным бэкдорам, что значительно усложняет его обнаружение. Кроме того, в своем инструментарии группа использует и известные вредоносные программы, в частности FRP, Cobalt Strike Beacon, Tiny shell.
«Среди обнаруженных нами образцов ВПО самый интересный — бэкдор DoorMe. По сути, он является нативным модулем IIS, который регистрируется как фильтр, через который проходит обработка HTTP-запросов и ответов. Его принцип работы нераспространенный: бэкдор обрабатывает только те запросы, в которых задан верный параметр cookie. На момент расследования инцидента DoorMe не детектировался средствами антивирусной защиты, и хотя техника установки этого бэкдора известна, за последнее время мы впервые видим ее использование, — рассказывает Денис Гойденко, руководитель отдела реагирования на угрозы ИБ Positive Technologies. — Бэкдор дает злоумышленникам довольно широкие возможности в захваченных системах: он способен выполнять команды посредством cmd.exe и создания нового процесса, записывать файлы двумя способами и копировать метки времени. В общей сложности реализовано шесть различных команд».
Эксперты Positive Technologies пока не связали ChamelGang с какой-либо конкретной страной. Помимо того, что группировка нацелена на ТЭК и авиационную промышленность в России, ее жертвами также стали учреждения в десяти странах, в числе которых Индия, Непал, США, Тайвань, Япония и Германия. При этом в некоторых странах специалисты обнаружили скомпрометированные правительственные серверы. Все пострадавшие компании уже получили уведомления по линии национальных CERT.
