Участник группировки Crazy ransomware злоупотребляет легитимным программным обеспечением для мониторинга сотрудников и инструментом удаленной поддержки SimpleHelp для обеспечения постоянного присутствия в корпоративных сетях, уклонения от обнаружения и подготовки к развертыванию программ-вымогателей.
Уязвимости были обнаружены исследователями из Huntress, которые расследовали несколько инцидентов, в ходе которых злоумышленники развертывали Net Monitor for Employees Professional вместе с SimpleHelp для удаленного доступа к взломанной сети, маскируясь под обычную административную деятельность.
В ходе одного из вторжений злоумышленники установили Net Monitor for Employees Professional с помощью утилиты Windows Installer, msiexec.exe, что позволило им развернуть агент мониторинга на скомпрометированных системах непосредственно с сайта разработчика.
После установки инструмент позволил злоумышленникам удаленно просматривать рабочий стол жертвы, передавать файлы и выполнять команды, фактически предоставляя полный интерактивный доступ к скомпрометированным системам.
Злоумышленники также пытались включить локальную учетную запись администратора, используя следующую команду:
net user administrator /active:yesДля обеспечения резервного постоянного присутствия злоумышленники загрузили и установили клиент удаленного доступа SimpleHelp с помощью команд PowerShell, используя имена файлов, схожие с легитимным Visual Studio vshost.exe.
Затем полезная нагрузка была выполнена, что позволило злоумышленникам поддерживать удаленный доступ, даже если инструмент мониторинга сотрудников был удален.
Бинарный файл SimpleHelp иногда маскировался под именами файлов, которые якобы относились к OneDrive:
C:\ProgramData\OneDriveSvc\OneDriveSvc.exeЗлоумышленники использовали программное обеспечение для мониторинга для удаленного выполнения команд, передачи файлов и мониторинга активности системы в режиме реального времени.
Исследователи также зафиксировали, что злоумышленники отключали Windows Defender, пытаясь остановить и удалить связанные с ним службы.
В одном из инцидентов хакеры настроили правила мониторинга в SimpleHelp, чтобы получать оповещения при доступе устройств к криптовалютным кошелькам или при использовании инструментов удаленного управления, готовясь к развертыванию программ-вымогателей и потенциальному хищению криптовалюты.
“Логи показывают, что агент непрерывно переключается между событиями триггера и сброса для ключевых слов, связанных с криптовалютами, включая сервисы кошельков (metamask, exodus, wallet, blockchain), биржи (binance, bybit, kucoin, bitrue, poloniex, bc.game, noones), блокчейн-эксплореры (etherscan, bscscan) и платежную платформу payoneer”, — объясняет Huntress.
“Наряду с этим, агент также отслеживал ключевые слова инструментов удаленного доступа, включая RDP, anydesk, ultraview, teamview и VNC, вероятно, чтобы обнаружить, активно ли кто-то подключается к машине”.
Использование нескольких инструментов удаленного доступа обеспечивало злоумышленникам резервирование, гарантируя сохранение доступа, даже если один инструмент был обнаружен или удален.
Хотя только один инцидент привел к развертыванию программы-вымогателя Crazy, Huntress считает, что за обоими инцидентами стоит один и тот же злоумышленник.
“Одно и то же имя файла (vhost.exe) и перекрывающаяся инфраструктура C2 использовались в обоих случаях, что убедительно свидетельствует о едином операторе или группе, стоящей за обоими вторжениями”, — объясняет Huntress.
Использование легитимных инструментов удаленного управления и мониторинга становится все более распространенным при атаках программ-вымогателей, поскольку эти инструменты позволяют злоумышленникам маскироваться под легитимный сетевой трафик.
Huntress предупреждает, что организации должны внимательно следить за несанкционированными установками инструментов удаленного мониторинга и поддержки.
Кроме того, поскольку оба взлома были осуществлены через скомпрометированные учетные данные SSL VPN, организациям необходимо внедрить MFA для всех служб удаленного доступа, используемых для доступа к сети.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
