Расследование Positive Technologies: новая APT-группировка атакует ТЭК и авиационную промышленность России ради данных

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) выявили новую, ранее неизвестную APT-группировку, получившую название ChamelGang. Основными ее целями в России пока являются организации топливно-энергетического комплекса и авиационной промышленности, а интерес злоумышленников направлен на хищение данных из скомпрометированных сетей. Первые атаки группы типа trusted relationship[1] были зарегистрированы в марте 2021 года.

«Сам по себе факт атаки не является чем-то уникальным: предприятия этой сферы входят в тройку наиболее часто атакуемых отраслей. При этом наиболее часто такие атаки приводят к потере данных или финансов — в 84% случаев злоумышленники в прошлом году нацеливались именно на хищение информации, — поясняет Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies. — Промышленные предприятия далеко не всегда способны самостоятельно выявить целенаправленную кибератаку и на протяжении многих лет могут оставаться в иллюзии безопасности, рассматривая вероятность реализации недопустимых событий как минимальную. Однако на практике злоумышленник более чем в 90% случаев может проникнуть в корпоративную сеть промышленного предприятия, и почти каждое такое проникновение приводит к полному контролю над инфраструктурой целевой организации. Результатом более половины таких атак становится совершение того самого недопустимого события — хищение данных о партнерах и сотрудниках компании, почтовой переписки и внутренней документации».

Команда по реагированию на инциденты ИБ экспертного центра безопасности Positive Technologies (PT Expert Security Center) при проведении расследований в российских компаниях топливно-энергетического и авиапромышленного секторов обнаружила новую киберпреступную группировку ChamelGang, использующую актуальный сегодня тип атак — trusted relationship.

 

Так, для получения доступа в сеть целевого предприятия в первом случае группа скомпрометировала дочернюю организацию, используя уязвимую версию веб-приложения на платформе с открытым исходным кодом JBoss Application Server. Проэксплуатировав уязвимость CVE-2017-12149, закрытую поставщиком Red Hat более четырех лет назад, хакеры получили возможность удаленного исполнения команд на узле. Спустя две недели (что, по оценке экспертов Positive Technologies, очень быстро) группа смогла скомпрометировать головную компанию: злоумышленники узнали словарный пароль локального администратора на одном из серверов в изолированном сегменте и проникли в ее сеть по протоколу RDP (Remote Desktop Protocol)[2]. Оставаясь необнаруженными, атакующие находились в корпоративной сети в течение трех месяцев; изучив ее, они получили контроль над большей ее частью, включая критически важные серверы и узлы в разных сегментах. Как показало расследование, APT-группировку интересовали данные, которые им и удалось похитить.

 

Во втором случае для проникновения в инфраструктуру злоумышленники воспользовались цепочкой связанных уязвимостей в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) — ProxyShell. О ней стало известно в публичном поле в августе этого года, и за прошедшие полтора месяца она активно эксплуатировалась различными АРТ-группами. Злоумышленники получили доступ к почтовым серверам компании использовав бэкдор, который на момент атаки не определялся большинством антивирусных решений. Как и в первом случае, группировка была нацелена на хищение данных, однако оперативное обнаружение APT-группы и противодействие ей позволило предотвратить хищение данных: злоумышленники присутствовали в инфраструктуре атакованной организации всего восемь дней и значимого ущерба нанести не успели.

 

Отличительной особенностью атак группы ChamelGang является использование нового, ранее никем не описанного вредоносного ПО — ProxyT, BeaconLoader, бэкдора DoorMe. Последний относится к пассивным бэкдорам, что значительно усложняет его обнаружение. Кроме того, в своем инструментарии группа имеет и уже известные вредоносные программы, в частности FRP, Cobalt Strike Beacon, Tiny shell.

«Среди обнаруженных нами образцов ВПО самый интересный — бэкдор DoorMe. По сути, он является нативным модулем IIS, который регистрируется как фильтр, через который проходит обработка HTTP-запросов и ответов. Его принцип работы нераспространенный: бэкдор обрабатывает только те запросы, в которых задан верный параметр cookie.  На момент расследования инцидента DoorMe не детектировался средствами антивирусной защиты, и хотя техника установки этого бэкдора известна, за последнее время мы впервые видим ее использование, — отмечает Денис Гойденко, руководитель отдела реагирования на угрозы ИБ Positive Technologies. — Бэкдор дает злоумышленникам довольно широкие возможности в захваченных системах: он способен выполнять команды посредством cmd.exe и создания нового процесса, записывать файлы двумя способами и копировать метки времени. В общей сложности реализовано шесть различных команд».

Свое название ChamelGang (от англ. chameleon) группировка получила за использование правдоподобных фишинговых доменов и особенностей операционных систем для маскировки вредоносного ПО и сетевой инфраструктуры. Например, злоумышленники регистрируют фишинговые домены, имитирующие легитимные сервисы крупных международных компаний — Microsoft, TrendMicro, McAfee, IBM и Google, — в том числе их сервисы поддержки, доставки контента и обновлений. В ходе изучения активности группировки специалисты PT ESC обнаружили домены newtrendmicro.com, centralgoogle.com, microsoft-support.net, cdn-chrome.com, mcafee-upgrade.com. Также на своих серверах APT-группа размещала SSL-сертификаты, которые имитировали легитимные (github.com, www.ibm.com, jquery.com, update.microsoft-support.net).

Эксперты Positive Technologies пока не отнесли ChamelGang к какой-либо конкретной стране. Помимо того, что APT-группировка нацелена на ТЭК и авиационную промышленность России, ее жертвами, согласно полученным данным, также стали учреждения в десяти странах, в числе которых Индия, Непал, США, Тайвань, Япония и Германия. При этом в некоторых странах специалисты PT ESC обнаружили скомпрометированные правительственные серверы. Все пострадавшие компании получили уведомления по линии национальных CERT.

[1] Trusted relationship attack (англ. «атака через доверительные отношения») — атака, в ходе которой злоумышленники взламывают инфраструктуру сторонней компании, у сотрудников которой есть легитимный доступ к ресурсам жертвы. К примеру, дочерние предприятия могут стать первым звеном в цепочке атаки на головную организацию, в других случаях атака может начинаться со взлома компании, обеспечивающей техническую поддержку. Такие атаки связаны с компрометацией доверенных каналов (например, VPN), тогда как атаки через цепочку поставки (supply chain), с которыми их нередко путают, проводятся с помощью программно-аппаратных средств — в само средство или в часть обновления внедряется имплант, который предоставляет прямой доступ к серверу или устанавливает связь с центром управления.

 

[2] Remote Desktop Protocol — протокол подключения пользователя к удаленному рабочему столу через сервер терминалов.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку