Хакеры, ориентированные на Китай, развернули на базе Linux бекдор ELF, чтобы массово красть учетные данные облачных сервисов из рабочих нагрузок по AWS, GCP, Azure и Alibaba Cloud.
По данным Breakglass Intelligence бекдор использует технику «нулевого обнаружения», применяя порт SMTP 25 в качестве скрытого канала управления и командования (C2) для сбора учетных данных и метаданных облачных провайдеров.
«Избирательный механизм проверки рукопожатий C2 делает сервер невидимым для обычных инструментов сканирования, таких как Shodan и Censys», сообщили исследователи Breakglass в блоге пост. Украденные учетные данные отправляются на три домена с опечатками, стилизованные под Alibaba Cloud, размещённые на инфраструктуре Alibaba Cloud в Сингапуре.
Кампания, приписываемая известной группе APT41 (Winnti), нацелена на чувствительные учетные данные облака, включая учетные данные ролей IAM, токены учетных записей служб, управляемые идентификационные токены и учетные данные RAM‑ролей.
Метаданные становятся новым паролем
После выполнения вредоносное ПО обращается к службе метаданных экземпляра, обычно доступной по адресу 169.254.169.254, чтобы получить токены доступа и конфигурационные данные, относящиеся к окружению хоста.
Запросы зависят от среды. Для AWS они направлены на учетные данные ролей IAM, для GCP — на токены учетных записей служб, для Azure — на управляемые идентификационные токены из точек IMDS, а для Alibaba Cloud — на учетные данные RAM‑ролей из метаданных ECS.
Исследователи также зафиксировали маяк латерального перемещения в виде UDP‑широковещания. «Имплант периодически отправляет UDP‑широковещающие пакеты на адрес 255.255.255.255:6006 в пределах локального сетевого сегмента», сообщили они. «Эти широковещательные сообщения содержат закодированный маяк, который могут получить другие заражённые узлы, позволяя координацию между равноправными узлами и распределение задач без дополнительного трафика C2.»
Исследователи проследили активность Winnti до 2020 года, что делает кампанию шестилетней, и отмечают первый документированный вариант «PWNLNX», использовавший базовый обратный шелл и XOR‑кодирование. С тех пор многое изменилось.
Домены с опечатками для облачной разведки
Кампания в значительной мере опирается на обман, указали исследователи, используя домены C2, близко напоминающие легитимные сервисы Alibaba Cloud. Подход с опечатками позволяет вредоносному трафику сливаться с обычными операциями в облаке, особенно в средах, где отсутствует исходящая фильтрация.
Используемый вредоносный модуль — обфусцированный ELF‑бинарник, исполняемый файл, предназначенный для получения и поддержания доступа внутри Linux‑облачных инстансов. Исследователи сообщили, что на VirusTotal на момент анализа бинарник не был обнаружен, что подтверждает их заявления о «нулевом обнаружении».
Вредоносное ПО также не реагирует на непреднамеренные запросы: инфраструктура C2 молчит, пока не будет установлено корректное (злонамеренное) рукопожатие. Это сбивает с толку автоматическое сканирование и песочницы.
Дополнительно связь через SMTP (порт 25) добавляет элемент скрытности. В то время как обычный C2‑трафик ограничивается HTTP/S, здесь SMTP используется для слияния с устаревшими или неправильно сконфигурированными средами, где ожидается трафик на порт 25. «Многие инструменты облачной безопасности не глубоко анализируют SMTP‑трафик на признаки C2», отметили исследователи. «Фильтрация исходящего трафика на порту 25 непоследовательна у разных провайдеров облака.»
Показатели и обнаружение
Несмотря на скрытность, исследователи смогли связать элементы благодаря независимому исследованию @Xlab_qax, которое с высокой уверенностью отнесло кампанию к APT41. Показатели, которыми поделились исследователи, включают файлы и сетевые сигнатуры (домены и порты). Также приведён список тактик MITRE ATT&CK для более широкого понимания многолетней кампании. Раскрытие Breakglass указывает на поведенчески-ориентированный подход к обнаружению на разных уровнях.
Со стороны сети защита должна искать необычный исходящий SMTP‑трафик, соединения с доменами‑похожими на Alibaba Cloud и периодические UDP‑широковещания на 255.255.255.255:6006. На хосте следят за обфусцированными или неизвестными ELF‑бинарниками и непредвиденным доступом процессов к точкам метаданных экземплятов.
И, наконец, в облаке мониторинг запросов к службе метаданных и аномальное использование учетных данных на основе ролей, особенно когда активность отклоняется от нормального поведения экземпляра, может помочь, сообщил исследователи.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
