Развитие информационных угроз во втором квартале 2024 года

Целевые атаки

Бэкдор в XZ: атака на цепочку поставок

29 марта в рассылке Openwall Open Source Security (oss-security) было опубликовано сообщение об обнаружении вредоносного бэкдора в XZ, утилите для сжатия данных, встроенной во многие популярные дистрибутивы Linux. Библиотека, содержащая бэкдор, используется sshd — серверным процессом OpenSSH. В некоторых дистрибутивах Linux на основе systemd, таких как Ubuntu, Debian и RedHat/Fedora, для доступа к функциям systemd применяется модифицированный OpenSSH, зависящий от этой библиотеки (проблема не коснулась дистрибутивов Arch Linux и Gentoo). Код бэкдора внедрялся в феврале и марте 2024 года, в основном пользователем по имени Цзя Чон Тан (Jia Cheong Tan). Скорее всего, это вымышленное имя. Мы полагаем, что целью атаки было добавление в sshd возможности удаленного выполнения кода посредством вмешательства в процесс сборки XZ Utils и последующее внедрение вредоносного кода, содержащего бэкдор, в популярные дистрибутивы Linux в рамках крупномасштабной атаки на цепочку поставок.

Хронология событий
19.01.2024 — сайт XZ перемещен на GitHub новым мейнтейнером (jiaT75)
15.02.2024 — в .gitignore добавлен файл build-to-host.m4
23.02.2024 — добавлены два «тестовых файла», содержащих этапы вредоносного скрипта
24.02.2024 — релиз XZ 5.6.0
26.02.2024 — коммит в CMakeLists.txt, нарушающий работу функции безопасности Landlock
04.03.2024 — бэкдор приводит к проблемам с Valgrind
09.03.2024 — обновлены два «тестовых файла», изменены функции CRC, «исправлена» проблема с Valgrind
09.03.2024 — релиз XZ 5.6.1
28.03.2024 — обнаружен баг, Debian и RedHat уведомлены
28.03.2024 — Debian откатывает XZ 5.6.1 до версии 5.4.5-0.2
29.03.2024 — сообщение о бэкдоре в XZ появляется в списке рассылки OSS-security
29.03.2024 — RedHat подтверждает, что XZ с бэкдором поставлялся в составе Fedora Rawhide и Fedora Linux 40 beta
30.03.2024 — Debian прекращает распространение своих сборок и начинает процесс их пересборки
02.04.2024 — главный разработчик XZ признает инцидент с бэкдором

В отличие от ранее обнаруженных атак на Node.js, PyPI, FDroid и ядро Linux, в которых злоумышленники внедрялись в цепочку поставок посредством микроскопических вредоносных исправлений, поддельных пакетов и пакетов с тайпсквоттинговыми именами, этот инцидент носил многоэтапный характер. При этом атакующие почти преуспели в попытке скомпрометировать SSH-серверы по всему миру.

Бэкдор в библиотеке liblzma был реализован на двух уровнях. В исходный код инфраструктуры сборки для получения финальных пакетов злоумышленники добавили файл build-to-host.m4, который извлекал скрипт следующего этапа, спрятанный в файле тестового примера (bad-3-corrupt_lzma2.xz). Этот скрипт, в свою очередь, извлекал вредоносный бинарный компонент из другого тестового файла (good-large_compressed.lzma), который в процессе компиляции прилинковывался к легитимной библиотеке и с ней попадал в репозитории Linux. В результате основные вендоры начали распространять вредоносный компонент в составе бета-версий и экспериментальных сборок. Эта уязвимость была зарегистрирована под номером CVE-2024-3094 с максимальным уровнем серьезности по десятибалльной шкале.

Первоначальная цель злоумышленников — успешно перехватить исполнение одной из функций, отвечающей за работу с ключом RSA. При проведении анализа мы сосредоточились на поведении бэкдора внутри ПО OpenSSH, а именно в переносимой версии OpenSSH 9.7p1 (самая актуальная версия на текущий момент). Наш анализ выявил следующие интересные функциональные особенности бэкдора:

• Злоумышленник реализовал защиту от повторного воспроизведения (anti-replay), чтобы избежать возможного перехвата сообщений бэкдора.
• Для сокрытия открытого ключа шифрования автор применил собственную технику стеганографии в коде x86.
• Бэкдор скрывает логи несанкционированных подключений к SSH-серверу посредством перехвата функции логирования.
• Бэкдор перехватывает функцию аутентификации по паролю, позволяя злоумышленнику входить на зараженный сервер с любым именем пользователя и паролем без дополнительных проверок. То же самое происходит и с функцией аутентификации по открытому ключу.
• Бэкдор обеспечивает удаленное выполнение кода, что позволяет злоумышленнику выполнить любую системную команду на зараженном сервере.

Очевидно, что мы столкнулись с довольно продвинутой угрозой. Злоумышленники получили длительный доступ к среде разработки посредством социальной инженерии и сохраняли его, совершая действия от имени вымышленных личностей у всех на виду. Они обладают глубокими знаниями внутреннего устройства проектов с открытым исходным кодом, таких как SSH и libc, а также опытом в обфускации кода и скриптов, используемых для заражения. Уникальность этой угрозы заключается в том, что информация об открытом ключе шифрования встраивается в сам бинарный код, что усложняет процесс восстановления, а также в тщательности подготовки операции.

Решения «Лаборатории Касперского» обнаруживают и определяют вредоносные объекты, связанные с этой атакой, как HEUR:Trojan.Script.XZ и Trojan.Shell.XZ. Кроме того, Kaspersky Endpoint Security для Linux обнаруживает вредоносный код в памяти процесса sshd как MEM:Trojan.Linux.XZ (в рамках задачи сканирования критических областей).

Чтобы узнать больше, ознакомьтесь с нашим первоначальным анализом, оценкой инцидента и углубленным анализом перехватчика.

Кампания DuneQuixote нацелена на страны Ближнего Востока

В феврале мы обнаружили новую вредоносную кампанию, целью которой были правительственные организации на Ближнем Востоке и которую мы назвали DuneQuixote. В ходе расследования мы обнаружили более 30 образцов дропперов DuneQuixote, активно использовавшихся в этой кампании. Некоторые из них были обычными дропперами, другие — модифицированными установочными файлами для легитимного ПО Total Commander. Дропперы исполняли вредоносный код для загрузки бэкдора, которому мы дали имя CR4T. Мы обнаружили только два подобных импланта, однако уверены, что могут существовать и другие в виде иных вредоносных программ. Группировка, стоящая за этой кампанией, приняла особые меры для предотвращения сбора и анализа своих имплантов и реализовала эффективные и детально продуманные методики обхода как при сетевом взаимодействии, так и в самом коде вредоносного ПО.

Изначальный дроппер представляет собой исполняемый файл для Windows x64, написанный на C/C++, хотя также существуют версии вредоносной программы с аналогичной функциональностью в формате DLL. В ходе выполнения вредоносная программа инициирует серию вызовов API, не несущих никакой практической пользы и служащих лишь для отвлечения внимания. В основном вызываются функции сравнения строк, выполняемые без каких-либо условных переходов на основании результатов сравнения. Строки, переданные в эти функции, представляют собой отрывки из стихотворений на испанском языке. В каждом образце они разные, чтобы сигнатура файла была уникальной. Это позволяет избежать обнаружения с помощью традиционных методик.

Основная задача импланта CR4T — предоставить злоумышленникам доступ к консоли на компьютере жертвы. Кроме того, он облегчает загрузку, выгрузку и изменение файлов.

Мы также обнаружили Golang-версию импланта CR4T, которая имеет те же возможности, что и вариант на C. Заметным отличием этой версии является возможность планирования заданий с помощью Golang-библиотеки Go-ole, которая использует интерфейсы COM-объектов (Component Object Model) Windows для взаимодействия со службой «Планировщик заданий».

Благодаря внедрению имплантов, выполняющихся только в памяти, и дропперов, маскирующихся под легитимное ПО (например, под установщик Total Commander), злоумышленники демонстрируют приемы и техники обхода средств защиты на высоком уровне. Обнаружение как версий C/C++, так и Golang-версий импланта CR4T свидетельствует об изобретательности атакующих, стоящих за этой кампанией, и умении адаптироваться к разным ситуациям.

ToddyCat: проделывание брешей в инфраструктуре

Группировка ToddyCat атакует преимущественно правительственные организации в Азиатско-Тихоокеанском регионе, главным образом с целью кражи конфиденциальных данных. В нашей предыдущей статье мы рассказали об инструментах, которые злоумышленники используют для сбора и эксфильтрации файлов (LoFiSe и PcExter). Совсем недавно мы выяснили, каким образом злоумышленники обеспечивают себе постоянный доступ к скомпрометированной инфраструктуре, какая информация им интересна и с помощью каких инструментов они ее добывают.

Наше расследование показало, что ToddyCat собирает данные в промышленных масштабах. Чтобы собирать информацию в таких объемах, атакующим необходимо, насколько это возможно, автоматизировать процесс, а также обеспечить несколько альтернативных способов поддержания постоянного доступа к атакуемым системам и наблюдения за ними.

Группировка ToddyCat использовала несколько методов для достижения этой цели. Одним из них является создание обратного SSH-туннеля. Для запуска использовался SSH-клиент из набора утилит OpenSSH для Windows вместе с необходимой для его работы библиотекой, файл с закрытым ключом OPENSSH и скрипт a.bat для сокрытия файла закрытого ключа. Злоумышленники передавали файлы на целевой хост по протоколу SMB с использованием общих папок.

Для создания туннеля атакующие также использовали серверную утилиту (VPN Server) из пакета SoftEther VPN. SoftEther VPN — это решение с открытым исходным кодом, разработанное в университете Цукубы в рамках академического исследования и позволяющее создавать VPN-соединения по многим популярным протоколам, таким как L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP и другие.

Еще один способ получить доступ к удаленной инфраструктуре, который использовали злоумышленники, — туннель легитимного облачного провайдера. Приложение, запущенное на хосте пользователя и имеющее доступ к локальной инфраструктуре, может устанавливать соединение с облачным сервером через легитимный агент, перенаправлять трафик и выполнять определенные команды.

Ngrok — это легковесная программа, которая перенаправляет трафик из конечных точек в облачную инфраструктуру и обратно. Атакующие устанавливали Ngrok на целевые хосты и с его помощью перенаправляли трафик для общения с командным сервером из облачной инфраструктуры на определенный порт на этих хостах.

Они также использовали прокси-сервер Krong, шифрующий передаваемые через него данные с помощью XOR, для сокрытия содержимого трафика, чтобы избежать обнаружения.

После создания туннелей на целевых хостах с помощью OpenSSH или SoftEther VPN атакующие дополнительно устанавливали клиент FRP — быстрый обратный прокси, написанный на языке Go. Он позволяет открыть доступ из интернета к локальному серверу, расположенному за NAT или сетевым экраном.

В распоряжении злоумышленников из ToddyCat имеются различные инструменты для сбора данных. Для поиска документов они использовали инструмент, который мы назвали cuthead (название мы взяли из поля file description найденного образца). Для поиска и сбора файлов локальных хранилищ веб-браузеров, в которых содержатся данные веб-версии приложения WhatsApp, использовалась программа WAExp, предназначенная для кражи данных WhatsApp. Для кражи паролей из браузеров злоумышленники использовали инструмент под названием TomBerBil.

Чтобы защититься от подобного рода атак, мы рекомендуем организациям добавлять ресурсы и IP-адреса облачных сервисов, предоставляющих услугу туннелирования трафика, в список запрещенных в корпоративном сетевом экране. Мы также рекомендуем ограничить набор инструментов, позволяющих администраторам удаленно подключаться к хостам: все прочие инструменты необходимо либо запретить, либо тщательно контролировать на предмет подозрительной активности. Кроме того, сотрудники должны избегать хранения паролей в браузерах, поскольку это облегчает злоумышленникам доступ к конфиденциальной информации, и не использовать одинаковые пароли в разных сервисах — последнее чревато тем, что злоумышленники получат доступ к большему количеству данных.

Прочее вредоносное ПО

QakBot эксплуатирует уязвимость нулевого дня в Windows

В начале апреля мы исследовали уязвимость в библиотеке ядра DWM (Desktop Windows Manager), обеспечивающую повышение привилегий (CVE-2023-36033), которая ранее была обнаружена в эксплойте нулевого дня. Занимаясь поиском образцов, связанных с этим эксплойтом, и атак, в которых он использовался, мы обнаружили любопытный документ, загруженный на VirusTotal 1 апреля. Этот документ привлек наше внимание, поскольку название файла указывало на то, что в нем содержится информация об уязвимости в Windows.

Внутри на плохом английском описывались уязвимость Windows DWM и способы ее эксплуатации для получения системных привилегий. Описанный в этом документе процесс эксплуатации был идентичен тому, что использовался в ранее упомянутом эксплойте нулевого дня для CVE-2023-36033, но уязвимость была другой.

Так как язык послания оставлял желать лучшего, а также по причине отсутствия в документе некоторых важных деталей о том, как именно можно задействовать уязвимость, возникло подозрение, что описанная уязвимость была выдумкой или присутствовала в коде, к которому злоумышленники не могли получить доступ или которым не могли управлять.

Однако быстрая проверка показала, что это действительно уязвимость нулевого дня, которую можно использовать для повышения привилегий, поэтому мы незамедлительно сообщили о своей находке Microsoft. Уязвимость получила идентификатор CVE-2024-30051, а исправление было выпущено в рамках вторничного обновления 14 мая.

Мы начали внимательно следить за нашей статистикой в поисках эксплойтов и атак, эксплуатирующих эту уязвимость, и в середине апреля обнаружили эксплойт. Мы наблюдали, как эта уязвимость нулевого дня используется вместе с QakBot и другими зловредами, и полагаем, что доступ к ней имеют несколько злоумышленников.

Решения «Лаборатории Касперского» детектируют эксплуатацию уязвимости CVE-2024-30051 и соответствующее вредоносное ПО как:

• PDM:Exploit.Win32.Generic;
• PDM:Trojan.Win32.Generic.

Билдер LockBit и целевые шифровальщики

В прошлом году мы опубликовали подробный анализ билдера LockBit 3.0, «утекшего» в публичный доступ в 2022 году. Он значительно упростил злоумышленникам создание модифицированных вариантов шифровальщиков.

Файл keygen.exe отвечает за генерацию открытого и закрытого ключей для шифрования и расшифровки файлов. Файл builder.exe генерирует модифицированную версию зловреда в соответствии с параметрами, заданными в файле config.json. Весь процесс автоматизирован с помощью скрипта build.bat.

Билдер также позволяет злоумышленникам выбирать, что именно они хотят зашифровать. Если целевая инфраструктура хорошо известна, злоумышленник может сгенерировать вредоносную программу под конкретную сетевую архитектуру жертвы, включая важные файлы, учетные записи администраторов и ключевые системы.

Это позволяет создавать версии зловреда, адаптированные под потребности злоумышленников, что делает их атаки более эффективными.

В феврале в результате проведения международной полицейской операции «Кронос» деятельность LockBit была пресечена. В этой акции участвовали правоохранительные органы из 10 стран — они смогли получить доступ к инфраструктуре группы и закрытые ключи для расшифровки файлов. Благодаря этому они подготовили набор инструментов для расшифровки на основе списка идентификаторов известных жертв. Однако спустя всего несколько дней после операции группа вымогателей объявила о своем возвращении.

Реагируя на один из недавних инцидентов, мы столкнулись с атакой, в которой использовался образец шифровальщика, созданный с помощью утекшего билдера. Злоумышленники смогли заполучить учетные данные администратора, хранившиеся в текстовом файле. Они собрали свою версию шифровальщика, которая, благодаря полученным учетным данным, могла распространяться по сети и выполнять такие вредоносные действия, как отключение Защитника Windows и удаление журналов событий Windows, чтобы зашифровать данные и замести следы. В одной из наших последних статей мы рассмотрели файлы билдера LockBit 3.0 и проанализировали шаги, предпринятые злоумышленниками для компрометации сети.

Стилеры, стилеры и еще раз стилеры

Стилеры занимают видное место в ландшафте угроз. Их цель — сбор паролей и других конфиденциальных данных с зараженных компьютеров для использования в будущих атаках, способных привести к серьезному финансовому ущербу. За последний год мы опубликовали ряд открытых и закрытых отчетов о новых обнаруженных стилерах. Недавно мы опубликовали два новых и один обновленный отчет об Acrid, ScarletStealer и Sys01.

Acrid — это новый стилер, обнаруженный в декабре 2023 года. Он написан на C++ для 32-разрядных систем, несмотря на то что в наши дни большинство систем 64-разрядные. При внимательном изучении причина компиляции для 32-разрядной среды становится ясна: разработчик решил использовать технику Heaven’s Gate. Она позволяет 32-разрядным приложениям получать доступ к 64-разрядной среде, чтобы обойти определенные меры безопасности. Этот зловред предназначен для кражи данных браузера, локальных криптовалютных кошельков, файлов с определенными именами (wallet.dat, password.docx и т. д.) и учетных данных из установленных приложений (FTP-менеджеры, мессенджеры и т. д.). Собранные данные архивируются и отправляются на командный сервер злоумышленников.

В январе прошлого года мы анализировали загрузчик, который мы назвали Penguish. Среди полезных нагрузок, которые он загружал, обнаружился ранее неизвестный стилер. Его мы назвали ScarletStealer. Это довольно необычный стилер: большая часть его функциональности содержится в других двоичных файлах (приложениях и расширениях Chrome), которые он загружает. Если говорить точнее: когда ScarletStealer запускается, он ищет криптовалюты и криптокошельки, проверяя определенные пути к папкам (например, %APPDATA%\Roaming\Exodus). Если стилер что-то нашел, он начинает загружать дополнительные исполняемые файлы с помощью PowerShell. Большинство исполняемых файлов ScarletStealer имеют цифровую подпись. Стилер ограничен в функциональности и содержит множество ошибок, недоработок и избыточного кода. Поэтому довольно странно, что этот стилер распространяется через столь длинную цепочку загрузчиков (последний из которых — это Penguish). Можно было бы ожидать, что все эти усилия увенчаются загрузкой чего-то более продвинутого, чем ScarletStealer.

SYS01 (другие названия — Album Stealer, S1deload Stealer) — относительно малоизвестный стилер, существующий как минимум с 2022 года. Изначально написан на C#, но был переписан на PHP. Единственное, что не изменилось, — это вектор заражения. Как и раньше, пользователей обманом побуждают загрузить вредоносный ZIP-архив, замаскированный под видео для взрослых, через страницу в Facebook*.

Архив содержит легитимный двоичный файл, который загружает вредоносную DLL-библиотеку. DLL открывает видео для взрослых и попутно запускает полезную нагрузку следующего этапа, которая представляет собой вредоносный PHP-файл, закодированный с помощью ionCube. Этот PHP-файл, в свою очередь, вызывает скрипт install.bat, а тот выполняет команду PowerShell, чтобы запустить следующий этап. Он называется runalayer и запускает то, что, видимо, и является финальной полезной нагрузкой, называемой Newb. Однако между последней версией стилера и предыдущими публично раскрытыми версиями есть разница. Стилер в его нынешнем виде (Newb) содержит функциональность для кражи данных, связанных с Facebook*, и для отправки на командный сервер злоумышленников украденных данных браузера. Он также имеет функции бэкдора. Но код, который собирает данные браузера, чтобы Newb отправил их на командный сервер злоумышленников, обнаружился в другом образце — imageclass. Достоверно неизвестно, как imageclass попадает в систему, но, изучив код бэкдора Newb, мы с большой долей уверенности считаем, что imageclass впоследствии попадает на зараженную машину через Newb. В исходном ZIP-архиве содержится еще один вредоносный PHP-файл — include.php. Этот файл имеет схожую с Newb функциональность бэкдора и принимает многие из его команд в том же формате.

ShrinkLocker: как BitLocker превращают в шифровальщик

В ходе недавнего реагирования на инцидент мы обнаружили программу-шифровальщик под названием ShrinkLocker. Она использует BitLocker для шифрования дисков зараженных компьютеров. BitLocker — это встроенная в Windows утилита для шифрования всего диска, предназначенная для предотвращения утечки данных с потерянных или украденных компьютеров.

ShrinkLocker реализован в виде сложного скрипта VBScript. Если скрипт определяет, что он запущен в среде Windows 2000, XP, 2003 или Vista, он завершает свою работу. Однако в случае с более новыми версиями Windows он запускает код для конкретной операционной системы. ShrinkLocker уменьшает разделы диска компьютера на 100 МБ и использует освободившееся место для создания загрузочного раздела. Вредоносная программа модифицирует реестр, чтобы запустить BitLocker с настройками злоумышленника. Затем скрипт отключает и удаляет все стандартные средства защиты BitLocker, чтобы предотвратить восстановление ключей, и включает функцию защиты цифровым паролем. Далее генерируется пароль и запускается шифрование всех локальных дисков, после чего пароль и системная информация отправляются на командный сервер злоумышленника. В завершение вредонос удаляет себя и перезагружает систему.

Если пользователь попытается обратиться к параметрам восстановления BitLocker при загрузке компьютера, появится сообщение об их отсутствии.

ShrinkLocker не оставляет сообщение с требованием выкупа, а меняет метки всех системных дисков на адрес электронной почты злоумышленника.

Полный текст анализа ShrinkLocker вы можете прочитать здесь.

* Бренд Facebook принадлежит компании Meta, которая признана в России экстремистской организацией