Makop (Phobos): RDP‑векторы, повышение привилегий и GuLoader
Киберисследователи зафиксировали волну атак с использованием вымогателя Makop — варианта Phobos, в которых злоумышленники целенаправленно эксплуатируют протокол удалённого рабочего стола (RDP). Основной упор делается на компании с ослабленными мерами защиты, в частности — на индийский бизнес.
Как начинаются атаки
Атаки обычно стартуют с несанкционированного доступа, полученного методом грубой силы или «dictionary»‑атак на уязвимые RDP‑учётные записи. Частая причина успешности таких входов — отсутствие многофакторной аутентификации (MFA) у целевых организаций. Оказавшись в сети жертвы, операторы Makop приступают к расширению контроля и подготовке к шифрованию.
Инструменты обнаружения и перемещения внутри сети
Для разведки и перемещения внутри сетевой инфраструктуры злоумышленники применяют популярные сетевые сканеры:
- NetScan
- Advanced IP Scanner
Эти инструменты позволяют находить уязвимые системы и планировать дальнейшие шаги по проникновению и распространению внутри сети.
Обход средств защиты и повышение привилегий
Для временного отключения защитных средств злоумышленники используют облегчённые «AV Killers», среди которых упоминаются Defender Control и Disable Defender. Это создаёт окно возможностей для эксплуатации известных уязвимостей и развертывания последующих модулей вредоносного ПО.
Ключевая фаза — локальное повышение привилегий (LPE). В кампании Makop отмечено использование ряда уязвимостей Windows для получения системных привилегий, среди которых:
- CVE-2017-0213
- CVE-2018-8639
- CVE-2021-41379
- CVE-2016-0099
Все перечисленные уязвимости имеют общедоступный PoC, что облегчает их эксплуатацию. Группа поддерживает разнообразный набор LPE‑инструментов, что повышает устойчивость атаки при неудаче одного из методов.
Кража учётных данных и расширение доступа
Получение и извлечение учётных данных — ещё один важнейший элемент операций Makop. В арсенале злоумышленников отмечаются:
- Mimikatz
- LaZagne
- NetPass
Вкупе с инструментами грубой силы и восстановления учётных записей (CrackAccount, AccountRestore) это позволяет злоумышленникам распространять доступ к дополнительным аккаунтам и усиливать влияние на инфраструктуру жертвы.
Доставщики полезной нагрузки
В качестве механизма доставки последующих полезных нагрузок выявлен GuLoader. Использование загрузчиков соответствует общей тенденции среди операторов вымогателей, стремящихся гибко разворачивать дополнительные модули.
География атак
Отмечено, что примерно 55% атак Makop приходится на Индию — это указывает на целенаправленность на среды с более слабыми мерами безопасности. Также зафиксированы инциденты в Бразилии, Германии и спорадически в других странах.
«Оказавшись в среде жертвы, операторы Makop используют различные тактические приёмы для облегчения своей вредоносной деятельности» — ключевое наблюдение отчёта.
Что такое значит для организаций
С учётом описанной тактики злоумышленников, компании, в частности малые и средние предприятия, должны учитывать следующие риски и меры:
- Защищать доступ по RDP: ограничивать доступ по сети, использовать VPN и/или jump‑hosts;
- Внедрять и требовать MFA для удалённого доступа;
- Своевременно устанавливать патчи для устранения известных уязвимостей, включая перечисленные CVE;
- Мониторить подозрительную сетевую активность и использование сканеров, а также попытки отключения защитных средств;
- Ограничивать хранение и наполнение учётных данных, применять надёжные средства управления секретами.
Наблюдаемая комбинация грубой силы, LPE‑эксплойтов и инструментов для кражи учётных данных делает кампании Makop гибкими и устойчивыми. Организациям рекомендуется повысить базовую кибергигиену и внимание к удалённому доступу, чтобы снизить риск успешной компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
