Масштабная угроза: хакеры атакуют провайдеров через WINRM

Исследовательская группа Splunk Threat сообщила о новой кампаниях, целью которой стали поставщики инфраструктуры интернет-провайдеров, расположенные в Восточной Европе, на Западном побережье США и в Китае. Злоумышленники применяют простые, но эффективные методы взлома, в частности, использование techniques brute force для атаки на слабые учетные данные.
Методы атаки и используемые технологии
В ходе кампании злоумышленники используют серверы командования и управления (C2) для выполнения различных вредоносных действий, включая:
- Вывоз данных.
- Развертывание дополнительных вредоносных программ.
- Использование механизмов сохранения данных.
Одним из основных инструментов для получения первоначального доступа является удаленное управление Windows (WINRM). После успешного «брутфорсинга» учетных записей, зловреды используют данную службу для выполнения дополнительных сценариев и загрузки полезной нагрузки.
Ключевые компоненты вредоносной программы
Важная часть этой вредоносной активности включает файл с именем mig.rdp.exe, загружаемый через WINRM. Этот файл запускает пакетный скрипт, который использует PowerShell-скрипт в кодировке Base64 для дальнейших операций. Основные действия, осуществляемые скриптом:
- Загрузка исполняемого файла x64.exe, который действует как самораспаковывающийся архив.
- Установка других вредоносных файлов, таких как ru.bat, st.bat и migrate.exe, в каталог C:ProgramData.
- Отключение функций безопасности, включая мониторинг с помощью Защитника Windows и управление разрешениями доступа.
Компонент migrate.exe предназначен для развертывания криптомайнера и вредоносного ПО для кражи информации. Он пытается загрузить дополнительные файлы с сервера C2 и использует специальный компонент для сканирования открытых служб WINRM.
Методы обмана и скрытности
Вредоносная программа применяет несколько техник для обхода защитных механизмов систем:
- Модификация запланированных задач.
- Изменение реестра.
- Завершение активных сеансов.
- Отключение служб удаленного доступа.
Криптомайнер, интегрированный в полезную нагрузку, нацелен на адреса криптовалютных кошельков и использует инструменты для получения скриншотов скомпрометированных хостов.
Ответ на угрозу и рекомендации от Splunk
Специалисты Splunk Threat Research зафиксировали более 4000 целевых IP-адресов, что подчеркивает широкий охват кампании. В ответ на данную угрозу команда разработала специальные аналитические инструменты и механизмы обнаружения, основанные на данных EDR, которые применимы к методам MITRE ATT&CK.
Эти новые данные позволят специалистам по безопасности более эффективно выявлять подобные угрозы и укреплять защиту своих систем от назначения кибератак. Как подчеркивают эксперты, «современные методы защиты должны эволюционировать, чтобы противостоять таким сложным и адаптивным угрозам».
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



