Группировка шифровальщика LeakNet теперь использует технику ClickFix для первоначального проникновения в корпоративные среды и развертывает загрузчик вредоносного ПО на основе среды выполнения Deno с открытым исходным кодом для JavaScript и TypeScript.
Злоумышленник использует легитимный Deno для декодирования и выполнения вредоносной полезной нагрузки непосредственно в памяти системы, минимизируя криминалистические улики на диске и снижая вероятность обнаружения.
LeakNet — это относительно новая угроза в сфере программ-вымогателей, активная с конца 2024 года. На счету злоумышленника в среднем около трех жертв в месяц, однако с внедрением новых тактик эта активность может расшириться.
ClickFix — это широко распространенная атака социальной инженерии, которая обманом заставляет пользователей выполнять вредоносные команды в своих системах с помощью поддельных запросов. Эту технику приняли на вооружение несколько групп шифровальщиков, таких как Termite и Interlock.
В случае с LeakNet приманка ClickFix приводит к развертыванию загрузчика на базе Deno, который выполняет JavaScript-полезную нагрузку в памяти системы.
Компания ReliaQuest называет эту тактику атакой «принеси свою среду выполнения» (BYOR), поскольку Deno является легитимной средой выполнения JavaScript/TypeScript, позволяющей выполнять JS/TS код вне браузера в системе.
Deno подписан и является легитимным, поэтому он обходит списки блокировки и фильтры для выполнения неизвестных бинарных файлов.
«Вместо развертывания пользовательского загрузчика вредоносного ПО, который с большей вероятностью будет помечен, злоумышленники устанавливают легитимный исполняемый файл Deno и используют его для запуска вредоносного кода», — объясняет ReliaQuest.
«В наблюдаемой активности этот процесс инициировался через скрипты Visual Basic Script (VBS) и PowerShell, хитро названные Romeo*.ps1 и Juliet*.vbs».
Использование Deno для прямого выполнения в памяти является ключевым моментом, поскольку эта активность оставляет минимальное количество криминалистических артефактов и выглядит как обычная задача разработчика.
После выполнения код собирает информацию о хосте, генерирует уникальный идентификатор жертвы и подключается к командно-контрольному центру (C2) для получения полезной нагрузки второго этапа. Одновременно он запускает постоянный цикл опроса для получения новых команд от C2.
На этапе постэксплуатации LeakNet использует DLL sideloading (jli.dll загружается через Java в C:\ProgramData\USOShared), маячки C2, обнаружение учетных данных через перечисление ‘klist’, боковое перемещение через PsExec, а также подготовку полезной нагрузки и эксфильтрацию данных с использованием уязвимостей в корзинах Amazon S3.
Исследователи подчеркивают, что последовательность и повторяемость цепочки атак предоставляют защитникам возможности для обнаружения.
К явным признакам потенциальной активности LeakNet относятся запуск Deno вне сред разработки, подозрительное выполнение ‘misexec’ из браузеров, аномальное использование PsExec, неожиданный исходящий трафик на S3 и DLL sideloading в необычных каталогах.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
