Расследование, начавшееся как рутинная проверка инцидента с программами-вымогателями, выявило двух не связанных между собой злоумышленников, действовавших одновременно в сети одной и той же жертвы. При этом каждый из них скрывал активность другого, что значительно усложнило реагирование.
Это открытие было сделано в ходе работы команды Microsoft по обнаружению и реагированию (DART) по делу, связанному с Storm-2603 — киберпреступной группировкой, занимающейся развертыванием программ-вымогателей. Изначально следователи полагали, что отслеживают одно вторжение, но затем обнаружили отдельную цепочку атак с использованием иного набора инструментов, инфраструктуры и целей.
«Этот случай подчеркивает растущую реальность: современные атаки не всегда являются изолированными событиями. Иногда это перекрывающиеся кампании», — заявила Microsoft в своем последнем отчете из серии докладов о кибератаках.
Компания сообщила, что активность, связанная с одним злоумышленником, изначально маскировала улики, относящиеся ко второму, что затруднило определение полного масштаба компрометации и реконструкцию хронологии атаки.
«Полный масштаб атаки стал ясен только после корреляции телеметрии идентификаторов, конечных точек и облачных сервисов», — добавлено в отчете.
В конечном итоге расследование вышло за пределы первоначальной среды и позволило DART выявить вторую скомпрометированную организацию, связанную с более широкой цепочкой атак, по данным Microsoft.
Два злоумышленника, одна среда
Расследование началось после того, как злоумышленники использовали уязвимости в локальных серверах SharePoint и закрепились в среде жертвы.
Microsoft связала эту активность с Storm-2603, которая во время вторжения использовала Cloudflare Tunnel, Zoho Assist, Visual Studio Code Remote SSH и Velociraptor. Согласно отчету, злоумышленник также создал несанкционированные учетные записи администратора и использовал уязвимый драйвер для отключения средств защиты перед развертыванием программ-вымогателей.
По мере того как следователи восстанавливали хронологию атаки, они обнаружили активность, которая не соответствовала тактике, методам и процедурам оператора программ-вымогателей.
Дальнейший анализ выявил то, что Microsoft охарактеризовала как отдельное вторжение. Согласно отчету, второй злоумышленник использовал методы DLL sideloading, собственные бэкдоры, VPN-доступ через инфраструктуру виртуальных частных серверов и пытался получить доступ к базам данных учетных данных Active Directory.
Microsoft заявила, что эта активность представляет собой отдельную цепочку атак, действующую в той же среде.
«Два разных злоумышленника действовали одновременно в одной и той же среде», — говорится в отчете Microsoft, причем каждый из них маскировал другого и скрывал полный масштаб вторжения.
По словам независимого исследователя кибербезопасности и специалиста по red teaming Вибхума Дубея, перекрывающиеся вторжения встречаются чаще, чем признают поставщики услуг.
«Большинство специалистов по реагированию на инциденты колеблются с выводом о том, что в одной среде действуют несколько не связанных между собой злоумышленников, поэтому они могут потратить много времени, пытаясь построить единую связную цепочку уничтожения из того, что на самом деле является отдельными вторжениями», — сказал Дубей.
По его словам, попадание двух групп на один и тот же уязвимый сервер SharePoint редко бывает скоординированным, но это может быть «две отдельные группы, сканирующие одни и те же фиды CVE и которым повезло примерно в одно и то же время». Результат, добавил он, — «одна среда, нулевое совпадение намерений».
Дубей отметил, что это совпадение также делает такие случаи трудными для распутывания.
Как распространилось вторжение
Расследование расширилось, когда судебно-медицинские доказательства показали, что злоумышленники вышли за пределы первой сети. DART связалась со второй организацией и подтвердила, что она пострадала от той же активности программ-вымогателей Storm-2603, что продемонстрировало, что охват злоумышленника вышел за рамки первой жертвы.
Дубей считает, что перекрывающиеся вторжения наиболее болезненны на этапе сдерживания. Вытеснение одной группы и смена учетных данных может насторожить вторую группу, которая никогда не была полностью оценена. «Актер Б, которого вы никогда полностью не оценили, становится активным, потому что вы только что потревожили его среду», — сказал он. По его словам, DART поступила правильно, используя разведывательные данные об угрозах для разделения кластеров артефактов перед принятием мер, «дисциплина, которая сыграла решающую роль».
В отчете говорится, что DART сдержала оба вторжения, используя структурированный план реагирования, собирая телеметрию из систем идентификации, конечных точек и облачных сервисов в едином представлении для выявления аномального поведения, пометки неправомерного использования учетных данных и отслеживания злоумышленников. Команда ежедневно информировала пострадавшего клиента и работала с Microsoft Threat Intelligence для подтверждения параллельной активности двух злоумышленников. Только путем «корреляции телеметрии идентификаторов, конечных точек и облачных сервисов» полный масштаб атаки стал ясен, заявила Microsoft.
Что следует учесть предприятиям?
Microsoft настоятельно рекомендовала организациям уделять приоритетное внимание установке исправлений для систем, подключенных к Интернету, особенно локальных SharePoint, а также рассматривать привилегированные учетные записи как основную поверхность атаки, требующую более строгого контроля и мониторинга.
Компания также рекомендовала широко развернуть защиту конечных точек, централизовать телеметрию, ограничить удаленный доступ и инструменты разработчика, которые используют злоумышленники, а также иметь готовые и протестированные планы реагирования на инциденты для быстрой изоляции скомпрометированных учетных записей.
Для Дубея коренная причина проще, чем последующая криминалистика: «интернет-ориентированный сервер оставался без исправлений достаточно долго, чтобы через дверь смогли пройти более одного злоумышленника». Все, что произошло после этого, по его словам, «было следствием этого единичного сбоя».
Microsoft не сразу ответила на запрос о комментарии.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
