СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:23
#ИБ

FunNULL: RingH23 и отравление MacCMS через компрометированные CDN

Новый анализ деятельности преступной хакерской группировки FunNULL показывает, что организация перешла от классических мошеннических схем к высокоорганизованным, многоуровневым кибератакам. Основные элементы этой кампании — набор инструментов RingH23 и техника MacCMS poisoning — позволяют злоумышленникам компрометировать законные CDN и внедрять вредоносный код в легальные веб-приложения, затрагивая миллионы пользователей.

«Этот набор инструментов, получивший название RingH23, демонстрирует стратегический подход, при котором злоумышленники сначала получают доступ к узлам управления CDN, а затем развертывают различные вредоносные компоненты на пограничных узлах с помощью удаленных команд.»

Ключевые выводы

  • FunNULL использует загрузчик в формате ELF, который загружает дополнительные модули и payload’ы для дальнейшего развертывания.
  • Основные механизмы закрепления включают udev-скрипты для сохранения после перезагрузки и руткит в пользовательском пространстве для сокрытия активности.
  • Вредоносные Nginx-модули перехватывают загрузки и вставляют вредоносный JavaScript в страницы, перенаправляя пользователей на злонамеренные ресурсы по условным триггерам (временные окна, параметры сессии и т.п.).
  • Два главных вектора внедрения: отравление обновлений MacCMS (maccms.la) с внедрением PHP-бэкдора и компрометация узла управления GoEdge через SSH.
  • Атака масштабируется через легальные CDN и множество честных сайтов, что затрудняет обнаружение и очистку.

Техническое описание кампании

В центре кампании — загрузчик в формате ELF, устанавливающий связь с C2 и загружающий модульную инфраструктуру RingH23. В состав инфраструктуры входят:

  • udev-скрипты и правила для обеспечения persistence, редкая техника для Linux-угроз, дающая сохранение после перезагрузки;
  • бэкдорные PHP-модули, внедряемые через уязвимость или механизм обновления в MacCMS, позволяющие манипулировать пользовательским трафиком и выполнять произвольный код;
  • Nginx-модули, отвечающие за перехват загрузок и динамическую инъекцию JavaScript в страницы при рендеринге;
  • руткит в пользовательском пространстве, скрывающий файлы, процессы и сетевые соединения;
  • модуль для манипуляции динамическими ссылками в процессе загрузки страниц, используемый для условных редиректов.

Векторы заражения и этапы атаки

  • MacCMS poisoning (maccms.la): компрометация пути обновления CMS позволяет внедрять PHP-бэкдоры прямо при обновлении, тем самым захватывая множество инсталляций без штатного уведомления администратору.
  • Компрометация GoEdge через SSH: контроль над узлом управления CDN даёт злоумышленникам возможность массово распространять модули RingH23 по пограничным узлам.
  • Далее злоумышленники удалённо активируют модули, которые внедряют вредоносный JavaScript в страницы, выполняющий условные редиректы и эксплойт-цепочки в определённое время суток.

Масштабы влияния и последствия

Из-за использования легитимных CDN и множества законных сайтов воздействие атаки оценивается как очень широкое: миллионы пользователей могли столкнуться с перенаправлениями на вредоносные сайты и эксплойтами. Технически опасность усугубляет то, что заражение многослойное — поверхностные скрипты удаляются легче, чем встроенные модули и udev‑правила, поэтому риск повторного заражения остаётся высоким.

Адаптивность злоумышленников

FunNULL активно перемещает и маскирует инфраструктуру (например, домены вроде cdn1.ai) и корректирует набор инструментов на основе оперативной обратной связи (feedback loop). Группа применяет условные триггеры в вредоносном ПО, меняет поведение как на стороне сервера, так и на стороне клиента, что делает традиционные меры обнаружения менее эффективными.

Рекомендации для веб‑администраторов и специалистов по безопасности

Ниже — практический чеклист и рекомендации по обнаружению, устранению и предотвращению повторного заражения.

  • Проведите немедленный аудит динамических файлов: внимательно проверьте все JavaScript и PHP-файлы на наличие посторонних вставок, условных редиректов и обфусцированного кода.
  • Ищите следы udev-закрепления: проверьте /etc/udev/rules.d и новые нестандартные правила/скрипты.
  • Проверьте целостность Nginx-модулей и бинарных файлов: сравните контрольные суммы с известными бенчмарками и восстановите из доверенных резервных копий.
  • Идентифицируйте и удалите PHP-бэкдоры в каталогах обновлений MacCMS (maccms.la) и других сторонних CMS.
  • Проверяйте доступ по SSH к узлам управления CDN (например, GoEdge): ревизуйте ключи, учётные записи и журналы доступа; при необходимости проведите ротацию ключей и паролей.
  • Блокируйте и мониторьте подозрительные домены (включая cdn1.ai) и IP-адреса на уровне сети и WAF.
  • Собирайте forensics: снимите образы заражённых узлов, сохраните логи, сетевые дампы и конфигурации для последующего анализа.
  • Внедрите контрмеры на клиентской стороне: Content Security Policy (CSP), Subresource Integrity (SRI), и дополнительные проверки целостности контента, поставляемого через CDN.
  • Обеспечьте полную очистку и восстановление из доверенных резервных копий; удаление поверхностных скриптов без устранения бекэнд-компонентов приведёт к повторному заражению.
  • Проведите аудит цепочки поставок обновлений CMS и настройте валидацию цифровых подписей для обновлений.
  • При подтверждении компрометации — привлекайте команду реагирования на инциденты (IR) и уведомляйте провайдеров CDN и соответствующие CERT/ISC.

Индикаторы компрометации (IoC) и признаки

  • Наличие неизвестных ELF-файлов и загрузчиков в нестандартных каталогах;
  • Новые или изменённые файлы в директориях обновлений MacCMS и неожиданные PHP-файлы;
  • udev-правила или скрипты, создающие автозапуск на уровне ядра;
  • Подозрительные Nginx-модули или изменения в конфигурации nginx и встроенные инструкции по модификации контента;
  • Обфусцированный/условно выполняемый JavaScript с тайм-триггерами и редиректами;
  • Необычные исходящие соединения к новым доменам (например, cdn1.ai) или неизвестным C2;
  • Изменения в пользователях системы, новые системные сервисы или скрытые процессы.

Вывод

FunNULL демонстрирует классический переход от мошеннических схем к профессионализму в киберпреступности: многоуровневые инструменты, устойчивые механизмы сохранения и использование доверенных поставщиков контента (CDN) делают кампанию особенно опасной. Организации должны воспринимать такие инциденты как сигнал о необходимости укрепления цепочки поставок ПО, улучшения мониторинга целостности контента и готовности быстро реагировать на инциденты.

Если у вас есть сомнения в целостности инфраструктуры или вы обнаружили подобные индикаторы — незамедлительно инициируйте инцидент-реакцию и привлеките специалистов по форенсике.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: