05/11/20
Специалисты подразделения Mandiant ИБ-компании FireEye опубликовали отчет о деятельности киберпреступной группировки UNC1945, эксплуатирующей уязвимость нулевого дня в Oracle Solaris для получения доступа к корпоративным сетям. Как правило, группировка атакует телекоммуникационные, финансовые и консалтинговые компании.
Хотя UNC1945 активна еще с 2018 года, специалисты Mandiant обратили внимание на группировку только в нынешнем году, когда она начала эксплуатировать ранее неизвестную уязвимость в Oracle Solaris (CVE-2020-14871). Уязвимость присутствует в модуле Pluggable Authentication Module (PAM) и позволяет обойти процедуры аутентификации. С ее помощью хакеры UNC1945 устанавливали на подключенные к интернету уязвимые серверы Solaris бэкдор SLAPSTICK. Бэкдор служил точкой входа для проведения разведывательных операций внутри корпоративных сетей и бокового перемещения на другие системы.
Для обхода обнаружения киберпреступники загружали и устанавливали виртуальную машину QEMU, работающую под управлением Tiny Core Linux. Эта кастомизированная виртуальная Linux-машина поставляется по умолчанию с целым рядом хакерских инструментов, в том числе с сетевыми сканерами, сборщиками паролей и эксплоитами, использующимся UNC1945 для сканирования корпоративных сетей на предмет наличия в них уязвимостей и бокового перемещения на другие компьютеры, независимо от того, работают они под управлением Windows или *NIX-систем.
В своих атаках группировка использует как легитимные ИБ-инструменты и инструменты для тестирования на проникновение с открытым исходным кодом (Mimikatz, Powersploit, Responder, Procdump, CrackMapExec, PoshC2, Medusa, и JBoss Vulnerability Scanner), так и кастомизированное вредоносное ПО. Среди «авторских» вредоносов исследователи отмечают EVILSUN, LEMONSTICK, LOGBLEACH, OKSOLO, OPENSHACKLE, ProxyChains, PUPYRAT, STEELCORGI, SLAPSTICK и TINYSHELL.
По мнению исследователей, UNC1945 приобрела инструмент EVILSUN для эксплуатации уязвимости нулевого дня в Oracle Solaris с последующей установкой бэкдора SLAPSTICK на киберпреступном форуме. Еще в апреле нынешнего года эксперты обнаружили сайт, рекламирующий «Oracle Solaris SSHD Remote Root Exploit» за $3 тыс.
Специалисты Mandiant уведомили Oracle об уязвимости ранее в нынешнем году, и в октябре компания выпустила для нее исправление.
