Американские власти сообщили, что некие «правительственные хакеры» использовали  малварь CovalentStealer и фреймворк Impacket для взлома неназванной организации, входящей в оборонно-промышленный комплекс страны. Как выяснилось, злоумышленники из нескольких APT провели в сети скомпрометированной компании около девяти месяцев.

Совместный отчет был опубликован специалистами из Агентства по кибербезопасности и защите инфраструктуры (CISA), Федерального бюро расследований (ФБР) и Агентства национальной безопасности (АНБ). В документ вошли технические подробности, собранные во время расследования, которое продолжалось с ноября 2021 года по январь 2022 года.

Исследователи рассказывают, что в рамках этой кампании злоумышленники использовали малварь под названием CovalentStealer, опенсорсную коллекцию Python-классов Impacket, троян удаленного доступа HyperBro, а также более десятка веб-шеллов ChinaChopper. Кроме того, известно, что они пользовались уязвимостями ProxyLogon (CVE-2021-26855CVE-2021-26857CVE-2021-26858 и CVE-2021-27065), примерно в то время, когда Microsoft только выпустила экстренное обновление для их устранения.

Хотя первоначальный вектор доступа неизвестен, в отчете отмечается, что хакеры получили доступ к серверу Exchange примерно в середине января 2021 года. Через четыре часа после этого они уже начали поиск в почтовом ящике и использовали скомпрометированную учетную запись администратора, принадлежащую бывшему сотруднику организации, для получения доступа к API Exchange Web Services (EWS), который используется для отправки и получения сообщений от клиентских приложений.

Менее чем через месяц, в начале февраля 2021 года, злоумышленники снова получили доступ к сети, используя те же учетные данные администратора и подключаясь через VPN. Еще через четыре дня хакеры занялись разведкой. Они собрали данные о среде жертвы и вручную заархивировали (WinRAR) конфиденциальные данные, например, связанную с контрактами информацию, хранившуюся на общих дисках, подготовившись к их краже.

В начале марта хакеры воспользовались уязвимостями ProxyLogon, чтобы установить на сервер Exchange не менее 17 веб-шеллов China Chopper, которые раньше использовались китайскими злоумышленниками, но сейчас применяются самыми разными группировками.

Активность по установлению постоянного присутствия в системе и боковому перемещению началась в апреле 2021 года и реализовывалась при помощи упомянутого инструмента Impacket. По данным следователей, Impacket использовалась со скомпрометированными учетными данными для получения доступа к аккаунту с более высокими привилегиями, что позволило хакерам установить удаленный доступ с сервером Exchange через Outlook Web Access (OWA) с нескольких внешних IP-адресов.

При этом отмечается, что в период с конца июля до середины октября 2022 года злоумышленники часто полагались на специально созданный вредонос CovalentStealer, который применялся для загрузки конфиденциальных файлов в Microsoft OneDrive.

По данным исследователей, CovalentStealer использует код сразу двух общедоступных утилит, ClientUploader и PowerShell-скрипта Export-MFT, для загрузки сжатых файлов и извлечения MFT. Также этот вредонос имеет возможности для шифрования и расшифровки загружаемых данных и файлов конфигурации, а также умеет обеспечивать безопасность связи.

Еще один отдельный отчет посвящен техническому анализу HyperBro RAT. Из отчета следует, что возможности этой малвари включают скачивание и загрузку файлов в систему и из нее, перехват нажатий клавиш, выполнение команд на зараженном хосте и обход защиты User Account Control для работы с привилегиями администратора.

К совместному отчету CISA, ФБР и АНБ  прилагается набор правил YARA, созданных для обнаружения активности этих конкретных злоумышленников, а также индикаторы компрометации для CovalentStealer, HyperBro и China Chopper.

Подписаться
Уведомить о
1 Комментарий
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии