В январе 2022 года эксперты Kaspersky ICS CERT выявили волну таргетированных атак на предприятия оборонно-промышленного комплекса и государственные учреждения нескольких стран. В ходе расследования удалось обнаружить более дюжины атакованных организаций. Мишенями атаки стали заводы, конструкторские бюро и НИИ, государственные агентства, министерства и ведомства нескольких стран Восточной Европы (Белоруссия, Россия, Украина) и Афганистана.
Атакующим удалось проникнуть на десятки предприятий, а на некоторых даже полностью захватить IT-инфраструктуру и взять под контроль системы управления защитными решениями.
Анализ информации, полученной в ходе расследования инцидентов, позволяет предположить, что целью данной серии атак был кибершпионаж.
Первоначальное заражение
Проникновение в сеть предприятия осуществляется при помощи хорошо подготовленных фишинговых писем, в том числе использующих информацию, специфическую для атакуемой организации и не доступную в публичных источниках. Это может свидетельствовать о проделанной заранее подготовительной работе (например, информация могла быть получена в результате предыдущих атак на ту же организацию или её сотрудников, либо на связанные с ней организации или частных лиц).
Документы Microsoft Word, вложенные в фишинговые письма, содержали вредоносный код, эксплуатирующий уязвимость CVE-2017-11882. Уязвимость позволяет выполнить произвольный код – в исследованных атаках это основной модуль вредоносного ПО PortDoor – без дополнительных действий со стороны пользователя.
Предыдущая серия атак, где также использовалось вредоносное ПО PortDoor, была описана специалистами компании Cybereason. В ходе нашего исследования была обнаружена новая версия PortDoor.
Схема первоначального заражения системы
После запуска PortDoor собирает общие сведения о зараженной системе и отправляет их на сервер управления вредоносным ПО. В случаях, когда зараженная система оказывается интересна злоумышленникам, они используют функциональность PortDoor для удаленного управления системой и установки дополнительного вредоносного ПО.
Дополнительное вредоносное ПО
Атакующие использовали сразу пять вредоносных программ класса backdoor – вероятно, для резервирования канала связи с зараженной системой на случай, если одна из вредоносных программ будет обнаружена и удалена защитным решением. Использованные бэкдоры предоставляют обширную функциональность для контроля над зараженной системой и сбора конфиденциальных данных.
Из шести бэкдоров, обнаруженных на зараженных системах, пять (PortDoor, nccTrojan, Logtu и Cotx и DNSep) ранее использовались в атаках, которые другие исследователи отнесли к APT TA428. Шестой бэкдор оказался новым и в других атаках не встречался.
Развитие атаки
Закрепившись на первой системе, злоумышленники пытаются распространить вредоносное ПО на другие компьютеры в сети предприятия, для доступа к которым они используют результаты сканирования сети, а также учетные данные пользователей, украденные ранее.
В качестве основного инструмента развития атаки используется хакерская утилита Ladon (популярна в Китае), объединяющая в себе инструментарий для сканирования сети, поиска и эксплуатации уязвимостей, атак на пароли и т.д. Также злоумышленники активно используют стандартные утилиты, входящие в состав операционной системы Microsoft Windows.
Финальным этапом развития атаки является захват контроллера домена и получение полного контроля над всеми рабочими станциями и серверами организации.
В ходе атаки злоумышленники активно использовали техники dll hijacking и process hollowing для противодействия детектированию вредоносных программ защитным ПО.
Кража данных
Получив права доменного администратора, злоумышленники приступали к поиску и загрузке документов и других файлов, содержащих конфиденциальные данные атакованной организации, на свои серверы, развёрнутые в разных странах. Эти же серверы использовались как серверы управления вредоносным ПО первого уровня.
Злоумышленники помещали украденные файлы в зашифрованные ZIP-архивы, защищенные паролем. После получения собранных данных серверы управления вредоносным ПО первого уровня пересылали полученные архивы на сервер управления второго уровня, расположенный в Китае.
Схема передачи украденных данных с зараженных систем
Кто стоит за атакой?
Отмечено значительное совпадение Tactics, Techniques, and Procedures (TTPs) с активностью APT TA428.
В ходе исследования выявлено вредоносное ПО и серверы управления, ранее использованные в атаках, которые другие исследователи отнесли к APT TA428.
Есть также ряд косвенных улик, подтверждающих наш вывод.
Мы считаем, что выявленная нами серия атак c высокой вероятностью является продолжением уже известной кампании, которая была описана в исследованиях Cybereason, DrWeb и NTTSecurity и с большой вероятностью отнесена исследователями к активности APT TA428.
Заключение
Результаты исследования показывают, что целевой фишинг остаётся одной из наиболее актуальных угроз для промышленных предприятий и государственных учреждений. В ходе атаки атакующие в основном использовали известные ранее вредоносные программы класса backdoor, а также стандартные техники развития атаки и обхода детектирования антивирусных решений.
Обнаруженная нами серия атак не является первой в кампании и, учитывая тот факт, что злоумышленникам удаётся достигать определённого успеха, мы считаем высоковероятным повторение подобных атак в будущем. Промышленным предприятиям и государственным учреждениям необходимо провести обширную работу, чтобы успешно отразить подобные атаки.
Технические подробности атак, рекомендации и индикаторы компрометации доступны в полной публичной версии статьи на сайте Kaspersky ICS CERT.
Приватная версия ранее была опубликована на Kaspersky Threat Intelligence.
Мы не заканчиваем наше расследование и будем публиковать информацию о новых находках по мере их появления. За дополнительной информацией вы можете обратиться по адресу: ics-cert@kaspersky.com.
Таргетированная атака на промышленные предприятия и государственные учреждения