Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новая угроза корпоративным сетям - бэкдор SMOKEDHAM

02/12/24

backdoor

Согласно отчёту исследователей из Trac LABS, хакерская группа UNC2465, движимая финансовой выгодой, активно применяет бэкдор SMOKEDHAM как основной инструмент для проникновения в корпоративные сети.

Злоумышленники получают первичный доступ к целевым системам через классическую триаду атак: фишинговые рассылки, заражённое программное обеспечение и компрометацию цепочек поставок. Такой подход позволяет группе эффективно скрывать своё присутствие при перемещении внутри скомпрометированной инфраструктуры, пишет Securitylab.

После вторжения в сеть атакующие используют инструменты вроде Advanced IP Scanner и BloodHound для разведки, RDP — для перемещения по системе, а Mimikatz — для сбора учётных данных. В прошлом группа применяла вирусы-шифровальщики DARKSIDE и LOCKBIT, но последние вредоносные кампании также показывают использование SMOKEDHAM через зловредную рекламу и скомпрометированные программы.

Заражение начинается с NSIS-скрипта, который устанавливает постоянство на заражённом устройстве и загружает вредоносные файлы. Скрипт проверяет наличие нужных компонентов и записей в реестре, чтобы избежать повторного выполнения. Затем создаются папки, загружается архив с паролем и извлекаются как легитимные, так и вредоносные инструменты.

Изменяя записи в реестре, скрипт гарантирует запуск вредоносного ярлыка при старте системы. Также он настраивает службу MSDTC с высокими привилегиями для возможной подмены DLL-библиотек. В финале выполняется бат-скрипт, который через PowerShell загружает и запускает вредоносную .NET-программу с удалённого сервера.

Программа использует C2-сервер для связи, отправляя информацию о заражённой системе, включая имя компьютера и пользователя. Сервер может передавать команды для дальнейшего изучения системы, такие как «whoami» или «systeminfo», а также выполнять произвольные действия. Для скрытности применяется шифрование RC4.

Также вредоносная программа способна делать скриншоты и загружать или выгружать файлы. В версии с PowerShell она внедряет свой код прямо в память устройства для выполнения без следов на диске.

Кроме того, злоумышленники подписывают исполняемые файлы с вредоносными DLL-библиотеками с помощью сертификатов с расширенной верификацией, чтобы исполнять скрытые скрипты.

NSIS-скрипт проверяет, входит ли устройство в состав DOMAIN, и если нет, запрашивает данные с определённого экземпляра Amazon EC2. Постоянство заражения достигается копированием легитимного файла «oleview.exe» с переименованной DLL-библиотекой и добавлением записи в реестр для автозапуска.

В одной из атак злоумышленники использовали команду «systeminfo» и список директорий для сбора информации о системе. Затем через ссылку на Dropbox был загружен PowerShell-скрипт с вредоносными инструкциями. Скрипт создал каталог в ProgramData и скачал дополнительные файлы, включая модификацию «winlogon.exe» и настройки удалённого доступа (UltraVNC.ini).

Затем модифицированный «winlogon.exe» был запущен, что позволило установить удалённое подключение к серверу злоумышленника через UltraVNC, используя порт 443. Это указывает на стремление атакующих получить удалённый доступ и повысить привилегии в системе.

Темы:УгрозыфишингбэкдорыTrac LABS
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...