Rhysida берёт на вооружение Oyster Backdoor
02/08/24
10 июля неназванная частная школа подверглась атаке группы вымогателей Rhysida, использующей новую версию Oyster Backdoor, известную также как Broomstick. Этот обновлённый вариант Oyster был впервые обнаружен Rapid7 в конце июня этого года и использует метод SEO Poisoning для обмана пользователей, заставляя их загружать вредоносные установщики, маскирующиеся под легитимное программное обеспечение, такое как Google Chrome и Microsoft Teams.
В ходе вышеозвученной атаки на конечной точке пользователя был развёрнут Oyster Backdoor, вероятно, через вредоносный IP-сканер, распространяемый через малвертайзинг. Вредоносная DLL-библиотека , связанная с этой атакой, взаимодействует с доменом «codeforprofessionalusers[.]com», который исследователи ThreatDown идентифицировали как сервер командования и управления Oyster, пишет Securitylab.
Одним из примечательных методов, использованных в этой атаке, был захват ввода, позволивший украсть административные учётные данные гипервизоров клиентов. Определенные задачи и вредоносные директории, идентифицированные в этом инциденте, были добавлены в базу данных обнаружений ThreatDown.
Атакующие использовали украденные SSH-учётные данные для доступа к устройствам NAS и гипервизорам VMware, обходя защитный слой реального времени ThreatDown Endpoint Protection (EP), что позволило им развернуть Rhysida. Так как клиент полагался только на EP вместо EDR или MDR, подозрительная активность осталась незамеченной.
Вымогатели зашифровали файлы VMDK на гипервизоре и, возможно, другие критически важные данные на устройствах NAS. Кроме того, были зашифрованы и локальные резервные копии, что потребовало использование дополнительных резервных копий для восстановления данных.
С момента своего появления в июне 2023 года группа Rhysida провела более 107 подтверждённых атак, при этом около 30% жертв приходятся на образовательный сектор. Для предотвращения атак и минимизации их последствий рекомендуется следовать следующим практикам:
- Удаление всех следов атаки. После изоляции и остановки первого нападения необходимо удалить все следы злоумышленников, их вредоносного ПО и методов проникновения.
- Блокировка общих форм проникновения. Разработать план для быстрого устранения уязвимостей в системах, доступных из интернета; усилить защиту удалённого доступа (RDP и VPN); использовать программное обеспечение для защиты конечных точек.
- Обнаружение вторжений. Сегментировать сети и ограничивать права доступа, используя EDR или MDR для обнаружения необычной активности.
- Создание дополнительных резервных копий, хранящихся оффлайн. Держать резервные копии вне досягаемости злоумышленников и регулярно проверять возможность восстановления.