Обнаружена новая атака на Windows и названы вредоносные файлы

Атакует изощренный злоумышленник.

Американский поставщик инструментов обнаружения, расследования и реагирования на угрозы Securonix заявил, что «раскрыл на прошлой недели скрытую кампанию, нацеленную на пользователей Windows с использованием вредоносных программ Cobalt Strike, которые, вероятно, доставлялись через фишинговые письма. Злоумышленникам удалось продвинуться, закрепиться и оставаться незамеченными в системах более двух недель».

Исследователи угроз Securonix Ден Юзвик и Тим Пек написали, что они не смогли определить ни происхождение атаки, ни вектор атаки. Но пара смогла сделать вывод, что она начинается с фишинговых писем, содержащих сжатые Zip-файлы с названием «20240739人员名单信息.zip» – что переводится как «Информация о списке персонала».

При нажатии на этот файл распаковывается архив, содержащий ссылку на файл под названием «违规远程控制软件人员名单.docx.lnk» — «Список людей, нарушивших правила использования программного обеспечения для удаленного управления».

Юзвик и Пек предположили, что названия файлов означают, что кампания, скорее всего, нацелена на «партнеров по бизнесу с конкретными связанными с Китаем коммерческими или государственными секторами…»

Каким бы ни был мотив, нажатие на эту ссылку приводит к выполнению кода, который запускается из вложенных каталогов с именами, ссылающимися на «MACOS».

В нескольких каталогах ниже скрываются файлы с именами dui70.dll и UI.exe.

Последний представляет собой переименованную версию легального исполняемого файла Windows под названием LicensingUI.exe — инструмента, который информирует пользователей о лицензировании и активации программного обеспечения.

«Легальный файл предназначен для импорта нескольких легальных DLL-файлов, один из которых — dui70.dll, и обычно должен находиться в C:\Windows\System32. Однако из-за уязвимости обхода пути DLL любая DLL, содержащая то же имя, может быть загружена при выполнении переименованного UI.exe файлом LNK», — пишут исследователи Securonix.

Им не удалось найти сообщений о методах загрузки DLL или перехвата с использованием LicensingUI.exe, так что, возможно, это новая тактика.

После запуска UI.exe вредоносная DLL, которая на самом деле является имплантом для печально известного набора инструментов для атак Cobalt Strike, приступает к работе и внедряется в двоичный файл Windows «runonce.exe». Этот исполняемый файл предоставляет злоумышленникам полный контроль над хостом.

Тот, кто руководит этой кампанией, затем развертывает несколько других вредоносных программ, а именно:

fpr.exe – Неизвестный исполняемый файл;

iox.exe – инструмент для переадресации портов и настройки прокси-соединений;

fscan.exe – Известный сканер в красном составе для определения активных хостов и открытых портов. Выходной файл – «result.txt»;

netspy.exe – сетевой разведывательный инструмент, используемый для захвата сетевого трафика или сканирования на предмет уязвимостей сети. Файлы журнала — «netspy.log» и «alive.txt»;

lld.exe – двоичный загрузчик шелл-кода, который в нашем случае загружал и выполнял сырой шелл-код, сохраненный в C:/Windows/Temp/tmp/tmp.log;

xxx.txt – то же самое, что и tmp.log до переименования;

tmp.log – файл, содержащий шелл-код, который будет выполнен lld.exe;

sharpdecryptpwd.exe – утилита командной строки, которая собирает и выводит кэшированные учетные данные из установленных приложений, таких как Navicat, TeamViewer, FileZilla, WinSCP и Xmanager;

pvefindaduser.exe – используется для перечисления пользователей Windows Active Directory (AD);

новый текстовый документ.txt – исследователи не смогли захватить этот файл и его действие неизвестно;

gogo_windows_amd64.exe – Похоже, что это связано с проектом с открытым исходным кодом "Nemo", который автоматизирует инструменты перечисления, такие как Nmap, Massscan и многие другие. Выводит файлы ".sock.lock" и "output.txt".

Вышеуказанные действия были выполнены последовательно и дали злоумышленникам большой объем информации, которую они, по-видимому, извлекли для других атак.

Компания Securonix наблюдала, как злоумышленники устанавливали постоянный доступ к сетям жертв и перемещались по сети, используя протокол удаленного рабочего стола.

Одной из целей является кража информации о конфигурации Active Directory, другой — публичные IP-адреса.

Исследователи Securonix написали, что все IP-адреса, которые, по их наблюдениям, использовались в этой атаке, размещались в Tencent, в том числе в его облачном хранилище объектов. Для публичных облаков не редкость обнаружить, что у них есть неприятные клиенты, но правительство Китая не смотрит благосклонно на своих технологических гигантов, когда они не защищают локальный интернет.

Поставщик систем безопасности назвал обнаруженную им кампанию SLOW#TEMPEST, поскольку тот, кто ее проводит, готов скрываться в течение недели или двух, преследуя свои цели.

Исследователи угроз Юзвик и Пек охарактеризовали атакующего как «высокоорганизованного и изощренного [и], вероятно, организованного опытным злоумышленником, имеющим опыт использования продвинутых фреймворков эксплуатации, таких как CobaltStrike, и широкого спектра других инструментов пост-эксплуатации».

Изображение сгенерировано ИИ

вопрос 1 из 10

Как ты реагируешь на пост, который тебе не нравится?

А) «Пишу саркастичный коммент, чтобы все поняли, как это тупо.»

Б) «Развёрнуто объясняю, почему автор ничего не понимает в жизни.»

В) «Ставлю дизлайк, пишу ‘лол, что за бред’ и ухожу.»

Далее

вопрос 1 из 10

Тебя пригласили в онлайн-дискуссию. Твои действия?

А) «Захожу, быстро пишу какой-то яд и удаляюсь.»

Б) «Остаюсь до конца и разваливаю тему своими аргументами, пока у всех не кончатся нервы.»

В) «Ору капсом, кидаю мемы и обзываюсь без остановки.»

Далее

вопрос 1 из 10

Что ты обычно пишешь в комментариях к видео или статье?

А) «Всё, что угодно, лишь бы подколоть автора.»

Б) «Пишу огромный текст с критикой и умными терминами, даже если никто не спросил.»

В) «Просто спамлю бессмысленными словами, лишь бы зацепить кого-то.»

Далее

вопрос 1 из 10

Тебя банят в чате. Что ты делаешь?

А) «Завожу новый аккаунт, чтобы продолжить шоу.»

Б) «Возмущаюсь и пишу везде, что это нарушение моих прав.»

В) «Создаю ещё несколько аккаунтов и снова шлю всех на ближайший хутор.»

Далее

вопрос 1 из 10

Какой твой любимый способ общения в интернете?

А) «Сарказм, подколы, но чтобы не все поняли сразу.»

Б) «Длинные тексты, где я объясняю, как всё должно быть на самом деле.»

В) «Капс, мемы и смайлики, за которыми скрывается пустота.»

Далее

вопрос 1 из 10

Как ты реагируешь, когда тебе отвечают на комментарий?

А) «Саркастично отписываю, чтобы запутать оппонента.»

Б) «Долгое объяснение, почему мой ответ был лучше и почему я прав.»

В) «Спамлю ещё сильнее и просто кидаю ‘лол’.»

Далее

вопрос 1 из 10

Какую фразу ты чаще всего используешь в интернете?

А) «Ну да, конечно, как будто это имеет смысл.»

Б) «На самом деле, если ты изучишь вопрос глубже, ты поймёшь, что я прав.»

В) «лол, ок, вообще не в тему.»

Далее