СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27 апреля
#ИБ

Компрометация cPanel и кража данных через AgentTesla и PhantomStealer

В отчете подробно описана деятельность злоумышленника, который получил доступ к двум скомпрометированным общим учетным записям хостинга cPanel — в Италии и Румынии — и использовал их как точки доступа по FTP для работы с двумя семействами info-stealer: AgentTesla и PhantomStealer 3.5.0.

Авторы исследования сосредоточились на технических аспектах вторжений, механизмах доставки, а также на том, как вредоносные программы извлекали и использовали свою конфигурацию. Отдельное внимание уделено признакам, указывающим на возможные векторы первоначального доступа, а также на меры, которые могут помочь в обнаружении подобных инцидентов.

Две учетные записи, два сценария злоупотребления

В ходе анализа были идентифицированы две скомпрометированные учетные записи:

  • Италия — учетная запись у провайдера с IP 86.107.32.157, использовавшаяся для эксфильтрации данных через AgentTesla;
  • Румыния — учетная запись на хостинге с IP 109.73.128.91, задействованная для PhantomStealer.

Сами учетные данные FTP заметно различались. В случае AgentTesla пароль оказался упрощенным и предсказуемым, что указывает на слабую защиту со стороны пользователя. Напротив, учетная запись, связанная с PhantomStealer, использовала сложный пароль, который, по всей видимости, был сгенерирован злоумышленником уже после получения доступа.

PhantomStealer 3.5.0: цепочка доставки и уклонение от обнаружения

PhantomStealer в версии 3.5.0 оказался особенно показателен с точки зрения техники исполнения. Вредоносная программа содержит модули, способные выполнять эксфильтрацию по FTP, однако другие функции — включая SMTP и cryptocurrency clipper — были отключены в конфигурации.

Исследователи описали сложную четырехэтапную цепочку доставки:

  1. первичный PowerShell dropper;
  2. использование шифрования AES;
  3. дополнительная обфускация с помощью XOR;
  4. загрузка .NET DLL для выполнения.

Эта библиотека, получившая обозначение ALTERNATE.EXECUTE, динамически создавалась из расшифрованного PowerShell и запускалась с использованием process hollowing легитимного Windows-бинарника aspnet_compiler.exe. По оценке исследователей, именно эта комбинация свидетельствует о продуманной тактике уклонения от обнаружения.

Что удалось восстановить из конфигурации

Используя собственные методы расшифровки PhantomStealer, специалисты смогли восстановить конфигурацию и извлечь из нее критически важные параметры. Среди них:

  • учетные данные для входа по FTP;
  • флаги состояния модулей;
  • рабочие параметры, влияющие на поведение вредоносного ПО.

Именно возможность восстановить конфигурацию позволила точнее понять, как злоумышленник управлял инфраструктурой и какие механизмы были подготовлены для дальнейшей эксфильтрации данных.

Возможный вектор первоначального доступа

Отдельный интерес вызвало исследование румынского хостинга, где были обнаружены устаревшие службы SSH. На системе использовались уязвимые версии OpenSSH, что, по мнению авторов отчета, может указывать на потенциальный вектор первоначального вторжения. Иными словами, злоумышленники могли воспользоваться слабо защищенной или не обновленной службой для получения первого доступа.

IOCs и меры реагирования

Для облегчения обнаружения инцидента в отчете перечислены показатели компрометации, связанные как с самими семействами ВПО, так и с механизмами их доставки. Среди рекомендованных мер реагирования:

  • блокировка определенных IP-адресов;
  • мониторинг и оповещение об исходящем FTP-трафике, особенно в диапазонах общего хостинга;
  • тщательный анализ поведения, связанного с контекстом выполнения aspnet_compiler.exe.

Вывод

Этот инцидент еще раз демонстрирует, насколько опасными остаются слабые практики безопасности в средах общего хостинга. Компрометация учетных записей cPanel, использование FTP как канала эксфильтрации и применение многоступенчатых техник доставки показывают, что киберпреступники продолжают совершенствовать инструменты и методы.

Главный вывод отчета заключается в том, что даже сравнительно простые ошибки — вроде слабого пароля или неактуального сервиса — могут стать отправной точкой для сложной и хорошо замаскированной вредоносной кампании.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: