Исследователи обнаружили новую программу-закладку, которая используется при вторжениях в корпоративные сети с апреля и, по всей видимости, связана с брокером первоначального доступа, продающим точки опоры в сетях бандам, занимающимся программами-вымогателями.
Программа-вредонос, названная Mistic исследователями из Symantec, была развернута в сетях организаций из различных секторов, включая страхование, образование, ИТ и профессиональные услуги. В некоторых случаях она использовалась совместно с ModeloRAT — вредоносным ПО, написанным на Python и связанным с угрозой Woodgnat, также известной как KongTuke.
«Сообщается, что Woodgnat в основном функционирует как IAB [брокер первоначального доступа]», — заявили исследователи Symantec в своем отчете. «Его цель — не доставить конечную полезную нагрузку, а установить высокоустойчивый удаленный доступ внутри предприятия и продать этот доступ высокого уровня аффилированным лицам программ-вымогателей и другим злоумышленникам за плату. Команда Symantec Threat Hunter Team наблюдала использование ModeloRAT в атаках с доставкой программы-вымогателя Qilin».
Woodgnat действует как минимум с мая 2024 года и за последние два года обслуживал несколько банд программ-вымогателей, включая Interlock, Rhysida, Akira, 8Base и Black Basta. Их атаки в значительной степени носят оппортунистический характер, направляя веб-посетителей через различные кампании социальной инженерии ClickFix.
Закладка с возможностями кражи учетных данных
Закладка Mistic запускается с помощью техники под названием DLL sideloading (боковая загрузка DLL), при которой сначала выполняется законный исполняемый файл другой программы, который ищет DLL с определенным именем для загрузки в память. Это очень популярная техника для обхода обнаружения, поскольку многие легитимные программы выполняют динамический поиск DLL в нескольких папках и уязвимы для отравления DLL.
По иронии судьбы, в данном случае злоумышленники доставляют и запускают файл с именем MpExtMs.exe, который имеет цифровую подпись и принадлежит Microsoft Defender. Этот файл ищет DLL с именем version.dll, которая, в свою очередь, ищет и загружает другую DLL с именем EndpointDlp.dll. Злоумышленники назвали свою закладку EndpointDlp.dll, чтобы она загружалась непосредственно в память.
Сама закладка связывается с сервером командно-контрольной (C2) панели и может выполнять код, доставленный с него, непосредственно в памяти, не сохраняя никаких файлов на диске. Другие функции включают возможность записи, удаления и перемещения файлов на машине жертвы, а также загрузки и выгрузки файлов на сервер C2.
Исследователи также наблюдали загрузку и выполнение .NET DLL для кражи учетных данных в сетях жертв, в дополнение к ModeloRAT. Среди распространенных системных инструментов, используемых злоумышленниками, — curl, reg.exe, net.exe, PowerShell, certutil.exe и Windows Management Instrumentation (WMIC).
«Тот факт, что Mistic выполняется в памяти и имеет встроенный механизм аварийного отключения (kill switch), делает его очень скрытным, что потенциально обеспечивает злоумышленникам долгосрочный скрытый доступ», — отметили исследователи.
Цепочки заражения ClickFix
Атакующие кампании группы Woodgnat часто включали обман пользователей с целью выполнения вредоносных команд PowerShell на их компьютерах с использованием различных уловок социальной инженерии, включая отображение поддельных тестов CAPTCHA на веб-сайтах и сбой браузера пользователя с просьбой вставить команды для устранения сбоя.
С апреля злоумышленники также начали отправлять сообщения жертвам в Microsoft Teams, выдавая себя за сотрудников ИТ-поддержки и направляя их через серию вредоносных шагов по вставке и запуску команд.
«Хотя первоначальное компрометирование может быть оппортунистическим, злоумышленники профилируют машины на предмет потенциального интереса, чтобы определить их ценность и возможность продажи доступа к ним», — заявили исследователи.
Закладка Mistic является последним примером того, как брокеры первоначального доступа и банды программ-вымогателей возвращаются к использованию собственных вредоносных инструментов, разработанных ими внутри компании, вместо того чтобы полагаться исключительно на инструменты системного администрирования, использующие встроенные возможности ОС (living-off-the-land) и двойного назначения.
Отчет Symantec включает список индикаторов компрометации для этой новой закладки, а также других вредоносных файлов и IP-адресов, использовавшихся в недавних атаках Woodgnat.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
