Масштабная угроза: хакеры атакуют провайдеров через WINRM

Масштабная угроза: хакеры атакуют провайдеров через WINRM

Исследовательская группа Splunk Threat сообщила о новой кампаниях, целью которой стали поставщики инфраструктуры интернет-провайдеров, расположенные в Восточной Европе, на Западном побережье США и в Китае. Злоумышленники применяют простые, но эффективные методы взлома, в частности, использование techniques brute force для атаки на слабые учетные данные.

Методы атаки и используемые технологии

В ходе кампании злоумышленники используют серверы командования и управления (C2) для выполнения различных вредоносных действий, включая:

  • Вывоз данных.
  • Развертывание дополнительных вредоносных программ.
  • Использование механизмов сохранения данных.

Одним из основных инструментов для получения первоначального доступа является удаленное управление Windows (WINRM). После успешного «брутфорсинга» учетных записей, зловреды используют данную службу для выполнения дополнительных сценариев и загрузки полезной нагрузки.

Ключевые компоненты вредоносной программы

Важная часть этой вредоносной активности включает файл с именем mig.rdp.exe, загружаемый через WINRM. Этот файл запускает пакетный скрипт, который использует PowerShell-скрипт в кодировке Base64 для дальнейших операций. Основные действия, осуществляемые скриптом:

  1. Загрузка исполняемого файла x64.exe, который действует как самораспаковывающийся архив.
  2. Установка других вредоносных файлов, таких как ru.bat, st.bat и migrate.exe, в каталог C:ProgramData.
  3. Отключение функций безопасности, включая мониторинг с помощью Защитника Windows и управление разрешениями доступа.

Компонент migrate.exe предназначен для развертывания криптомайнера и вредоносного ПО для кражи информации. Он пытается загрузить дополнительные файлы с сервера C2 и использует специальный компонент для сканирования открытых служб WINRM.

Методы обмана и скрытности

Вредоносная программа применяет несколько техник для обхода защитных механизмов систем:

  • Модификация запланированных задач.
  • Изменение реестра.
  • Завершение активных сеансов.
  • Отключение служб удаленного доступа.

Криптомайнер, интегрированный в полезную нагрузку, нацелен на адреса криптовалютных кошельков и использует инструменты для получения скриншотов скомпрометированных хостов.

Ответ на угрозу и рекомендации от Splunk

Специалисты Splunk Threat Research зафиксировали более 4000 целевых IP-адресов, что подчеркивает широкий охват кампании. В ответ на данную угрозу команда разработала специальные аналитические инструменты и механизмы обнаружения, основанные на данных EDR, которые применимы к методам MITRE ATT&CK.

Эти новые данные позволят специалистам по безопасности более эффективно выявлять подобные угрозы и укреплять защиту своих систем от назначения кибератак. Как подчеркивают эксперты, «современные методы защиты должны эволюционировать, чтобы противостоять таким сложным и адаптивным угрозам».

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: