Ransomware через подрядчика: компрометация инфраструктуры и RDP

Недавний инцидент с программой-вымогателем показал, насколько уязвимой может оказаться даже небольшая организация, если в цепочке доверия есть слабое звено. По данным отчета, злоумышленники получили доступ к инфраструктуре спортивной организации через уязвимости в системах крупного подрядчика-интегратора software, а затем использовали просочившийся exploit, связанный с .NET, замаскированный под легитимное software, установленное в системах 1С.

Как развивалась атака

Особую тревогу вызвал тот факт, что за двенадцать часов до шифрования были зафиксированы несанкционированные попытки входа с нетипичного IP-адреса с использованием service account с domain privileges. По мнению аналитиков, этому, вероятно, способствовал слабый password. После первичного проникновения злоумышленники использовали RDP для доступа к системам, отключили antivirus tools и запустили вредоносную payload под названием Hardbit v4.2, классифицируемую как backdoor malware.

Когда первоначальные системы оказались скомпрометированы, атакующие изменили тактику: они отказались от ранее задействованной service account и получили доступ к инфраструктуре напрямую через размещенные образцы backdoor.

Техническая схема вредоносной активности

Ключевой компонент malware, помеченный как MyService, распространяется из системы System.ServiceProcess.ServiceBase. После запуска он динамически загружает .NET DLL и взаимодействует с C2-server для получения дополнительной payload, используя методы Reflective Code Loading.

Этот подход позволяет вредоносному коду выполняться в memory, не оставляя следов на disk. Далее secondary loader попытался получить доступ к encrypted payloads из удаленной infrastructure.

Кто стоит за атакой

Атака была атрибутирована неустановленной malicious group, обозначенной в taxonomy Solar 4RAYS как NGC8211. По оценке исследователей, группа, вероятно, ориентирована на encryption organizational data с целью financial extortion.

Инцидент наглядно показывает, что компрометация одного подрядчика может стать точкой входа в более широкую инфраструктуру заказчика.

Выводы и рекомендации

Ситуация высветила существенные gaps в security-практиках целевой организации и подчеркнула необходимость более строгого контроля при работе с подрядчиками. В отчете отдельно отмечается, что даже небольшие infrastructure должны иметь изолированные сегменты и ограниченные внешние поверхности атаки.

Среди ключевых рекомендаций:

• ограничить доступ к sensitive infrastructure через VPN с two-factor authentication;
• свести к минимуму количество systems, доступных через Internet;
• отказаться от слабых password policies, включая использование флага «DONT_EXPIRE_PASSWORD» для user accounts;
• обеспечить эффективную network segmentation, включая изолированные сегменты для public services;
• проводить тщательную проверку backups перед восстановлением, чтобы исключить наличие malware;
• не полагаться на обещания attackers о расшифровке данных, поскольку это может привести к повторному extortion.

Эксперты подчеркивают: атака стала очередным примером того, насколько критично соблюдать современные standards of information security, особенно в среде с разветвленными networks, клиентскими базами и зависимостью от внешних подрядчиков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.