30/10/20
Специалисты компании FireEye рассказали о ряде вредоносных кампаний по распространению вымогательского ПО, в рамках которых использовалось новые загрузчики KEGTAP (также известный как BEERBOT), SINGLEMALT (также известный как STILLBOT) и WINEKEY (также известный как CORKBOT). В некоторых случаях развертывание вымогателей происходило в течение 24 часов после взлома.
Хотя данные семейства вредоносов взаимодействуют с одним и тем же C&C-сервером и имеют общие функциональные особенности, сходство в коде между ними минимально. Операторы, осуществляющие вредоносные кампании, активно нацелены на больницы, пенсионные сообщества и медицинские центры даже в разгар глобального кризиса в области здравоохранения.
В рамках кампаний по распространению KEGTAP, SINGLEMALT и WINEKEY были разосланы письма частным лицам в организациях из различных отраслей и географических регионов. Письма содержали ссылку на документ Google Docs со встроенной ссылкой на URL-адрес, содержащий полезную нагрузку вредоносного ПО. Преступники маскируют письма, используя обычные корпоративные темы, включая сообщения о жалобах, увольнениях, бонусах, контрактах, графиках работы или опросах.
Ранние кампании осуществлялись через Sendgrid и включали встроенные ссылки на URL-адреса Sendgrid, которые перенаправляли пользователей к документам Google. При нажатии на ссылки загружались двоичные файлы вредоносных программ с именами файлов, замаскированных под документы. Ранее двоичные файлы вредоносных программ размещались в скомпрометированной инфраструктуре, однако злоумышленники вскоре перешли на размещение своего вредоносного ПО на легитимных web-сервисах, включая Google Drive, Basecamp, Slack, Trello, Yougile и JetBrains.
После запуска загрузчика и бэкдора на системе жертвы, злоумышленники загружали POWERTRICK и/или маяки Cobalt Strike. В дополнение к использованию общих постэксплуатационных фреймворков, таких как Cobalt Strike, Metasploit и EMPIRE, эксперты наблюдали использование других бэкдоров, включая ANCHOR, который, предположительно, находится под контролем TrickBot.
Загрузчики могут поддерживать персистентность посредством перезагрузки, используя по крайней мере четыре различных метода, включая создание запланированной задачи, добавление себя в папку автозагрузки в качестве ярлыка, создание запланированного задания Microsoft BITS с помощью /setnotifycmdline и добавление себя в значение Userinit в разделе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
По крайней мере в одном случае злоумышленники поддерживали доступ к среде жертвы, используя украденные учетные данные для доступа к корпоративной инфраструктуре VPN, настроенной на требование только однофакторной аутентификации. Преступники использовали похищенные учетные данные, полученные с помощью MimiKatz, для повышения привилегий.
Подходы, используемые для выполнения разведки сети в этих инцидентах, различались, однако значительная часть наблюдаемой разведывательной деятельности была связана с перечислением Activity Directory с использованием общедоступных утилит, таких как BLOODHOUND, SHARPHOUND или ADFind, а также выполнения PowerShell-команд с использованием маяков Cobalt Strike.
Перемещение по сети чаще всего выполнялось с использованием действительных учетных данных обычных пользователей и администраторов в сочетании с маяками Cobalt Strike, RDP и SMB или с использованием тех же бэкдоров, которые используются для закрепления в сетях жертв.
Эксперты также зафиксировали инциденты, связанные с KEGTAP, которые включали развертывание вымогателя Ryuk после взлома. Также наблюдались случаи, когда установка бэкдора ANCHOR предшествовала развертыванию Conti или Maze.
