18/07/24
По данным японского центра координации компьютерного реагирования (JPCERT), группа хакеров MirrorFace с 2022 года нацеливается на медиа, политические организации и академические учреждения Японии. А в последнее время злоумышленники также начали атаковать производителей и исследовательские институты. Атаки развиваются от целенаправленных фишинговых рассылок до эксплуатации уязвимостей в продуктах Array AG и FortiGate, пишет Securitylab.
Хакеры используют вредоносное программное обеспечение NOOPDOOR и различные инструменты для кражи данных после проникновения в сеть. NOOPDOOR представляет собой шелл-код, который внедряется в легитимные приложения двумя методами.
Первый метод подразумевает запуск NOOPDOOR с помощью XML-файла, содержащего замаскированный код, который компилируется и выполняется с использованием MSBuild. Этот способ сохраняет зашифрованные данные в определённых регистрах для последующего использования.
Второй метод использует DLL-файл для подгрузки NOOPLDR в легитимные приложения, скрывая свои действия через сложные методы обфускации кода. Оба типа извлекают зашифрованные данные из файлов или реестра, расшифровывая их с помощью AES-CBC на основе системной информации.
Образцы NOOPLDR различаются по формату (XML и DLL) и способам внедрения в процессы Windows. XML-образцы в основном используют легитимные процессы для выполнения и хранят зашифрованные полезные нагрузки в реестре. DLL-образцы показывают более сложное поведение, включая установку служб и скрытие в реестре.
Некоторые образцы используют процесс «wuauclt.exe» для инъекций, другие полагаются на «lsass.exe», «svchost.exe» и «vdsldr.exe». DLL-варианты также применяют обфускацию Control Flow Flattening (CFF), усложняя анализ. Для деобфускации JPCERT/CC предлагает Python-скрипт на GitHub.
NOOPDOOR может общаться по порту 443 с использованием алгоритма генерации доменов (DGA) и получать команды через порт 47000. Помимо стандартных действий, таких как передача и выполнение файлов, NOOPDOOR может манипулировать временными метками файлов, что затрудняет судебные расследования.
Хакеры стремятся получить сетевые учётные данные Windows, анализируя дампы памяти процессов, базу данных NTDS.dit контроллера домена и чувствительные разделы реестра (SYSTEM, SAM, SECURITY).
После получения администраторских привилегий в сети Windows, хакеры распространяют вредоносное ПО через SMB и запланированные задачи, нацеливаясь на файловые серверы, AD и серверы управления антивирусом.
После проникновения, злоумышленники проводят разведку, используя команды auditpol, bitsadmin и dfsutil. Они извлекают данные с помощью WinRAR и SFTP, после предварительного сканирования файлов с командами «dir /s» и атаки на OneDrive, Teams, IIS и другие сервисы.
