Специалисты Microsoft Defender Experts опубликовали новый отчет об угрозах, который проливает свет на одну из самых изощренных фишинговых схем, замеченных за последнее время. Эта схема не связана со взломом высокотехнологичной системы безопасности или созданием новой уязвимости нулевого дня, или чем-либо еще, что приходит на ум при слове «взлом». Злоумышленники просто придумали, надо признать, хитроумную систему для проникновения в корпоративные компьютеры с использованием легитимного программного обеспечения.
Все начинается с электронных писем, содержащих поддельные приглашения на встречи, PDF-документы и другие вредоносные ссылки. Когда целевой пользователь переходит по ссылке для обновления знакомого приложения, такого как Microsoft Teams, Zoom, Google Meet или Adobe Reader, он на самом деле загружает вредоносное ПО на свой компьютер.
Но вот в чем дело: Microsoft обнаружила, что вредоносные файлы были подписаны цифровой подписью с использованием скомпрометированного сертификата расширенной проверки (EV), выданного компании под названием TrustConnect Software PTY LTD.
Получить EV-сертификаты непросто, поскольку они требуют строгой проверки личности Центром сертификации. Из-за этого Windows SmartScreen и большинство антивирусов автоматически считают их надежными и предполагают, что любой файл с такой подписью абсолютно безопасен для загрузки и запуска.
Когда пользователь загружает файл, вредоносное ПО закладывает основу для всей операции. Сначала оно копирует себя в каталог Program Files, имитируя легитимное приложение, регистрируется как служба Windows и создает ключ в реестре системы для автоматического запуска при каждом включении компьютера.
Получив доступ к зараженному компьютеру, вредоносное ПО затем использует закодированные команды PowerShell для скрытой установки легитимных инструментов удаленного мониторинга и управления (RMM), таких как ScreenConnect, Tactical RMM и Mesh Agent!
Поскольку реальные корпоративные ИТ-отделы используют эти самые инструменты каждый день для управления компьютерами компании, вредоносный сетевой трафик совершенно не выделяется. Злоумышленники получают постоянный бэкдор в корпоративную сеть, включая удаленное управление рабочим столом и выполнение команд на уровне системы, не вызывая ни единого подозрения. Согласно отчету Microsoft, злоумышленники даже устанавливают несколько RMM-инструментов на случай, если служба безопасности обнаружит и удалит один из них.
После установления полного контроля над сетью злоумышленники могут делать практически все, что угодно, с пострадавшими компьютерами. Они могут просматривать внутренние серверы для кражи интеллектуальной собственности, баз данных клиентов или финансовых записей. Или они могут перемещаться по сети от одного зараженного ноутбука прямо к основному контроллеру домена. Возможности безграничны.
Это продолжающаяся угроза, и Microsoft советует компаниям и сотрудникам с особой осторожностью относиться к каждой загрузке файла, в безопасности которой они не уверены на сто процентов. Полный отчет можно найти в блоге Microsoft Security.
Вредоносное ПО как услуга
Теперь, если EV-сертификаты так трудно получить, вы можете задаться вопросом, как кучка злоумышленников их заполучила. И история об этом довольно дикая.
Исследователи угроз из Proofpoint обнаружили в прошлом месяце, что хакеры не крали сертификат. Они фактически создали подставную компанию «TrustConnect Software PTY LTD» и сфабриковали целую фальшивую бизнес-идентичность. Они использовали ИИ для создания крайне убедительного корпоративного веб-сайта и наполнили его вымышленной статистикой клиентов и отзывами. Под видом законного стартапа TrustConnect затем легально приобрела EV-сертификат. Кто-то в Центре сертификации действительно рассмотрел и одобрил эту покупку.
Имея в своем распоряжении высоконадежный EV-сертификат, TrustConnect не собиралась просто запускать собственные атаки. Вместо этого она превратила свой фальшивый веб-сайт в прибыльную витрину для сдачи в аренду своего вредоносного ПО другим злоумышленникам. TrustConnect, по сути, создала то, что Proofpoint называет операцией «Вредоносное ПО как услуга» (MaaS), взимая фиксированную плату в размере 300 долларов в месяц в криптовалюте за доступ к подписанным цифровой подписью полезным нагрузкам и командной инфраструктуре. Злоумышленники последовали старому совету и продавали лопаты во время золотой лихорадки.
Таким образом, если бы вы сами захотели проникнуть в чей-то корпоративный компьютер, вам даже не понадобилось бы писать вредоносный скрипт. Вы могли бы просто заплатить TrustConnect 300 долларов, загрузить их предварительно подписанную полезную нагрузку, использовать корпоративную лексику, чтобы убедить цель запустить ваш файл, и вы внутри. Легкая игра.
К счастью, сообщество специалистов по безопасности не сидело сложа руки. Proofpoint, работая совместно с группой исследователей, известной как The Cert Graveyard, удалось добиться официальной аннуляции скомпрометированного EV-сертификата 6 февраля. Но есть огромный подвох. Поскольку аннулирование не было ретроактивным, любые вредоносные полезные нагрузки, которые хакеры уже подписали, остаются полностью действительными и доверенными Windows.
Хотя витрина TrustConnect перестала принимать новых подписчиков, злоумышленники не просто свернулись и исчезли. Они почти немедленно переключились на тестирование нового варианта вредоносного ПО под названием DocConnect. Согласно отчету Proofpoint, DocConnect — это улучшенная версия вредоносного ПО с более продвинутыми функциями, включающими лучшую панель управления, улучшенную связь в реальном времени и уловки вроде фальшивых экранов обновлений Windows.
Все это превращается в бесконечную игру в «ударь крота», и до конца ей еще далеко. Будьте осторожны с тем, что вы загружаете, сейчас как никогда, потому что эти злоумышленники не собираются отступать.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ivan Jenic
