В ходе исследования деятельности хактивистской группы 4BID, позиционирующей себя как проукраинскую, мы выявили новую серию кампаний, за которой может стоять несколько связанных друг с другом группировок. Как правило, подобные политически мотивированные группы атакуют цели в определенных странах. В случае проукраинских хактивистов это российские и в отдельных случаях белорусские организации. Однако исследование показывает иную картину: реальная география этих атак значительно шире и охватывает компании в Казахстане, ОАЭ, Сирии и Египте из государственной, медицинской и авиационной отраслей.
Отправной точкой исследования стала скомпрометированная инфраструктура российской организации. В ней мы обнаружили набор индикаторов компрометации, с помощью которого смогли выявить другие среды, атакованные теми же злоумышленниками, и увидеть более широкую картину.
В этой статье мы рассмотрим как вариации ранее встречавшихся в кампаниях хактивистов инструментов, так и новые:
- Образцы шифровальщиков
- Скрипты, используемые на разных стадиях атаки
- Коммерческие решения для удаленного управления и мониторинга IT-инфраструктуры (RMM)
Сюда относятся как обновленные версии уже известных инструментов злоумышленников, так и ранее не встречавшееся ПО.
Пересечения активности
В инфраструктуре организации, ставшей отправной точкой исследования, мы выявили много индикаторов активности различных группировок, позиционирующих себя как проукраинских, — именно они и задали направление дальнейшему анализу. Следующие находки мы можем со средней степенью уверенности отнести к активности хактивистов:
- Несколько образцов BlackReaperRAT, который мы приписываем группировке 4BID, были обнаружены рядом со скриптами для загрузки RMM Panorama9, AnyDesk и Dev Tunnels.
- Помимо перечисленных выше артефактов, в других атакованных инфраструктурах мы обнаружили шифровальщик Интересно, что в публичных источниках в этот же период группировка «Хакерский кiт» заявила об успешной атаке на российский завод, в инфраструктуре которого также был обнаружен шифровальщик ClearWater, и поблагодарила группировку C.A.S. за содействие.
- В атакованных инфраструктурах мы обнаружили несколько образцов Warp RAT, которые связываем с группировкой Goffee. Отчет об этой активности будет опубликован позже.
Технические детали
Уязвимые веб-серверы и fd.aspx
Анализ атакованных инфраструктур показал, что в большинстве случаев злоумышленники получали первоначальный доступ путем эксплуатации уязвимости Exchange, а именно — ProxyShell, которая позволяет полностью скомпрометировать сервер.
Получив доступ, атакующие использовали веб-шелл fd.aspx — файл ASP.NET с модульной архитектурой, обеспечивающий удаленное управление, передачу файлов и сбор системных данных. Коммуникация с веб-шеллом была защищена простейшей проверкой: если параметр key во входящем запросе не совпадал с константой AUTH_KEY, fd.aspx возвращал Access Denied.
Проверка ключа доступа
В случае успешной проверки команда, содержащаяся в параметре scriptText запроса, передавалась напрямую в PowerShell, а результат возвращался оператору в теле HTTP-ответа. В средах, где выполнение PowerShell ограничено, веб-шелл использовал вместо него cmd.exe. Флаги CreateNoWindow: true и UseShellExecute: false скрывали процесс выполнения команд от пользователя.
Помимо функции выполнения команд, в веб-шелле реализован двунаправленный обмен файлами, закодированными по алгоритму Base64, что позволяет передавать бинарные данные любого формата — исполняемые файлы, архивы, сертификаты — в теле HTTP-запроса. Функция UploadFile записывает файлы в произвольные директории, к которым процесс веб-сервера имеет доступ, что открывает возможность размещать дополнительные шеллы или подменять легитимные файлы. Функция DownloadFile загружает любой доступный файл из скомпрометированной системы на C2 злоумышленников.
Также в веб-шелле присутствует функция разведки скомпрометированной системы, которая собирает следующие данные:
- OSVersion — версия операционной системы
- MachineName — имя хоста
- UserName — имя пользователя
- UserDomainName — домен
- ProcessorCount — количество процессоров
- SystemDirectory — каталог системы
- CurrentDirectory — текущий каталог
- Version — версия .NET Framework
Помимо этого, функция разведки перечисляет запущенные процессы и строит карту подключенных дисков с информацией о свободном пространстве на каждом из них при помощи функции DriveInfo.GetDrives(). Разведка файловой системы дополняется метаданными LastWriteTime для каждого объекта, что позволяет оператору быстро выявить недавно измененные файлы и сориентироваться в структуре хранилищ.
Помимо веб-шеллов во всех атакованных инфраструктурах встречались различные скрипты либо C2-фреймворки, описанные далее.
Используемые скрипты
После получения контроля над целевой системой злоумышленники переходили к следующему этапу — загрузке необходимого ПО с помощью самописных скриптов, которые в той или иной вариации встречаются на атакованных хостах вместе с fd.aspx. Большинство из них работает с легитимными инструментами и внешне почти не отличается от обычных административных скриптов. Выдают их лишь комментарии в коде на украинском языке. Один из таких скриптов отвечает за развертывание AnyDesk на скомпрометированном хосте.
Отдельного внимания заслуживает качество самих скриптов. Часть из них демонстрирует характерные признаки генерации с помощью ИИ: в отдельных скомпрометированных системах мы обнаружили несколько модификаций одного и того же скрипта — некоторые их них были нефункциональными. Сгенерированный ИИ код, как правило, не работает «из коробки» и требует доработки для корректного выполнения.
Первым делом скрипт проверяет наличие прав администратора — без них дальнейшее выполнение невозможно. Если проверка пройдена, скрипт ищет запущенный процесс anydesk.exe. Если его нет, загружает и устанавливает приложение напрямую с официального сайта. После успешной установки скрипт задает пароль для удаленного доступа и запрашивает уникальный AnyDesk ID. Вся собранная информация формируется в отчет и отправляется на сервер злоумышленников — 185.221.153[.]121. Поскольку на исследуемых хостах обнаружена активность сразу нескольких группировок — 4BID, Хакерский кiт или C.A.S, — этот адрес потенциально может принадлежать любой из них.
Помимо AnyDesk злоумышленники задействуют и другие легитимные инструменты. Один из них — Dev Tunnels, сервис от Microsoft, позволяющий открывать доступ к локальному серверу через интернет. Для его доставки используется отдельный скрипт, который, аналогично предыдущему, сначала проверяет наличие утилиты в системе, а затем при необходимости загружает ее с официального сайта. Также в отдельных случаях утилита загружалась с сервера злоумышленников.
После установки приложение запускается, а данные для подключения сохраняются в файл login.txt. Его содержимое представляет собой стандартную инструкцию для авторизации на странице Microsoft через браузер при помощи указанного в файле кода.
|
1 |
To sign in, use a web browser to open the page https://login.microsoft.com/device and enter the code [CODE] to authenticate. |
В качестве завершающего шага скрипт открывает необходимые порты и создает туннель, обеспечивая злоумышленникам доступ к скомпрометированному хосту.
Еще один обнаруженный скрипт отвечает за установку Panorama9 — легитимной утилиты для удаленного мониторинга и управления устройствами. Сразу после загрузки приложения злоумышленники конфигурируют его через реестр, скрывая иконку из системного трея и папку, в которой оно расположено. Для маскировки сервисов Panorama9 атакующие переименовывают их в Windows Update Helper и Windows Update Helper Cache, а также меняют их описания — все это делает утилиту практически неотличимой от стандартных системных компонентов. Закончив работу, скрипт удаляет следы своей активности.
Для закрепления в системе злоумышленники использовали отдельный скрипт. При запуске он создавал с помощью команды net user локального пользователя, а затем скрывал его через реестр. Скрипт добавлял нового пользователя во все доступные локальные группы, а если машина находилась в домене, дополнительно предпринимал попытку добавления пользователя во все группы Active Directory.
Параллельно скрипт настраивал RDP-доступ: задавал через реестр минимальный уровень шифрования, добавлял в правила файрвола разрешение для порта 3389 и запускал соответствующие сервисы.
Завершив свою основную работу, скрипт удалял журналы событий, историю команд, временные файлы и себя. После того как злоумышленники выполнили все, что хотели, на зараженном хосте, они задействовали еще один скрипт, который удалял ранее созданную учетную запись, очищал ветки реестра, созданные на предыдущих этапах, после чего также удалял и себя.
Описанные скрипты — лишь наиболее показательные примеры из десятков обнаруженных образцов. Анализ инструментария атакующих демонстрирует очевидную тенденцию: они не только дорабатывают уже применявшиеся ранее решения (в частности, скрипт для развертывания AnyDesk), но и последовательно расширяют арсенал за счет новых инструментов — Panorama9, Dev Tunnels и других.
Общедоступные утилиты
Как мы уже упоминали, атакующие используют широкий спектр общедоступного ПО «двойного назначения» — всевозможных утилит для удаленного мониторинга и управления. Некоторые из них доставляют в систему скрипты, для других мы не видели скриптов и не можем сказать, существуют ли они. Следующие инструменты мы наблюдали в рамках описываемых кампаний:
- AnyDesk — инструмент удаленного администрирования
- Advanced IP Scanner — утилита для сканирования сети
- Dev Tunnels — сервис от Microsoft, который позволяет открыть доступ к серверу через интернет
- Panorama9 — сервис для управления IT-инфраструктурой и ее мониторинга
- Nezha Monitoring — утилита для наблюдения за состоянием серверов
- Tactical RMM — инструмент удаленного мониторинга и управления
C2 и коммуникация
Для закрепления в инфраструктуре жертвы злоумышленники использовали несколько постэксплуатационных фреймворков. Часть из них является публичными инструментами, тогда как другие представляют собой кастомные разработки.
Среди общедоступных утилит в арсенале атакующих присутствуют следующие:
- Sliver
- Havoc
- Apollo Mythic
- Adaptix
Также был обнаружен ранее не описанный бэкдор BlackSalt, который связывается с С2 для получения команд и выполняет их через cmd.exe.
Sliver
На некоторые хосты, помимо уже описанных файлов fd.aspx и скриптов, в результате компрометации сервера Microsoft Exchange были загружены файлы с именами upd.exe, winhost.exe, update1.exe, update.exe и akolo.exe. Все они находились в каталоге C:\Windows\System32\inetsrv\ и представляли собой SFX-архивы с примерно одинаковым содержимым, которые при распаковке запускают скрипт install.bat.
Содержимое SFX-архива
Содержимое install.bat
Скрипт копирует вредоносные компоненты в папку Windows и устанавливает файл servicechecker.bat в системе как сервис, используя легитимную утилиту Windows Service Wrapper (WinSW), которая также находится в архиве — в файле с именем backupsrv.exe. Также рядом расположен конфигурационный файл WinSW — backupsrv.xml, в котором прописано, какой именно скрипт нужно установить как сервис. После установки servicechecker.bat запускается при следующем старте ОС.
Скрипт servicechecker.bat, в свою очередь, запускает backupagnt.exe — загрузчик основного вредоносного компонента, находящегося в файле WindowsInternal.UpdateComponent.dll. Этот файл создан с помощью утилиты Donut и зашифрован простым однобайтовым XOR-ключом 0x0F. Его основная задача — загрузить код Sliver в память устройства.
Код загрузчика backupagnt.exe
Все обнаруженные экземпляры Sliver в рамках этого исследования были сконфигурированы для общения с С2 185.221.153[.]121 по протоколу mTLS.
Havoc
В аналогичном SFX-архиве в пользовательском каталоге $user\desktop\ под именем demon.x64.exe мы нашли другой постэксплуатационный фреймворк — Havoc, настроенный на коммуникацию с С2 77.72.85[.]62.
Apollo
Mythic Apollo — это кросс-платформенный постэксплуатационный агент, используемый в рамках фреймворка Mythic для управления скомпрометированными системами. Он обеспечивает устойчивое соединение с C2-сервером, выполнение команд оператора, загрузку/выгрузку файлов, выполнение произвольного кода и расширение функциональности через плагины. Подробное описание фреймворка Mythic мы приводили в статье Ищем Mythic в сетевом трафике.
Пример конфигурации Mythic Apollo, которую мы встречали в атаках хактивистов:
Этот образец .NET-агента Mythic Apollo собран с широким набором модулей и поддерживает несколько транспортных профилей, обеспечивающих коммуникацию по протоколам HTTP, TCP, WebSocket, SMB, а также через именованные каналы (named pipes) и веб-шеллы. В конфигурации жестко задан C2 77.72.85[.]62.
Adaptix
Еще один постэксплуатационный фреймворк в арсенале злоумышленников — AdaptixC2. Это относительно новый проект с открытым исходным кодом. Мы подробно описали его в статье Адаптируйся или плати. Разбор фреймворка AdaptixC2.
Образцы агентов, обнаруженные в ходе исследования хактивистских кампаний, представляют собой упакованный AdaptixC2 Beacon, доставляемый через кастомный загрузчик для архитектуры x64. Запускаемый файл расшифровывает встроенный шелл-код, после чего выделяет память и запускает вредоносную нагрузку с помощью WinAPI-функции CreateThread. Внутри шелл-кода находится агент AdaptixC2 Beacon в формате DLL с конфигурацией, зашифрованной по алгоритму RC4.
По классификации AdaptixC2 этот агент относится к типу BEACON_HTTP. Он способен выполнять команды, проводить файловые операции, перечислять и завершать процессы, запускать новые программы и передавать данные на C2. Также он поддерживает переадресацию портов по протоколу SOCKS и BOF-модули.
AdaptixC2 хранит конфигурацию в зашифрованном виде. Соответствующий блок включает размер данных, собственно конфигурацию, зашифрованную по алгоритму RC4, и 16-байтный ключ.
Пример конфигурации агента
Пример обращений агентов к С2-адресу, обнаруженных решениями «Лаборатории Касперского» и отображаемых в Kaspersky Threat Lookup
BlackSalt Backdoor
Во время исследования мы также обнаружили инфраструктуры с уязвимой версией Microsoft Exchange, где, как и в случае с Sliver, в папке C:\Windows\System32\inetsrv\ находились SFX-архивы с именем WindowsServiceHelper.exe. После распаковки архив запускал файл install.bat.
Содержимое SFX-архива
Содержимое install.bat
Как и в других аналогичных архивах, скрипт устанавливает вредоносные компоненты при помощи утилиты WinSW. Однако в данном случае основная вредоносная нагрузка имеет имя svc.exe и представляет собой обфусцированный бэкдор, написанный на VBS. В коде установочного BAT-скрипта, явно написанного при помощи ИИ-инструментов, как и в скриптах для доставки утилит удаленного управления, используются комментарии на украинском языке.
Основной цикл бэкдора
Бэкдор представляет собой типичную обратную оболочку (reverse shell). Его возможности сводятся к получению команд с С2 45.150.109[.]2, их выполнению с помощью утилиты cmd.exe и отправке результата обратно на командный сервер.
EDR-киллеры
В своих атаках злоумышленники используют так называемые EDR-киллеры. Это вредоносные утилиты, позволяющие отключать средства защиты в системе. В большинстве случаев в основе работы таких утилит лежит техника BYOVD.
На скомпрометированных устройствах мы обнаружили образцы с названиями kil.exe и Killer.exe. Они представляют собой модифицированную реализацию общедоступного проекта BYOVD EDRKiller на языке Rust. Атакующие упростили утилиту до роли клиента к драйверу, а также расширили список завершаемых процессов защитных решений. Образец использует уязвимый драйвер Warsaw_PM, однако в нем нет функций загрузки драйвера — злоумышленники доставляют его в систему отдельно.
Общая схема работы выглядит следующим образом:
- Программа в пользовательском режиме находит PID целевого процесса.
- Открывает дескриптор \\.\Warsaw_PM.
- Формирует буфер с PID целевого процесса.
- Вызывает DeviceIoControl.
- Драйвер выполняет вызовы:
- ZwOpenProcess;
- ZwTerminateProcess.
EDR-киллер непрерывно перечисляет процессы, повторно отправляет IOCTL и завершает целевые процессы при каждом их появлении.
Пример хранения списка процессов в EDR-киллере
Файлы kil.exe и Killer.exe содержат одинаковый список завершаемых процессов:
|
1 |
MsMpEng.exe, SenseIR.exe, SenseNdr.exe, SenseCncProxy.exe, SenseSampleUploader.exe, NisSrv.exe, avp.exe, kavfs.exe, bdagent.exe, bdservicehost.exe, vsserv.exe, AvastSvc.exe, AvastUI.exe, aswidsagent.exe, avgsvc.exe, mfemms.exe, mfefire.exe, mfevtps.exe, dwengine.exe, dwservice.exe, elastic-agent.exe, elastic-endpoint.exe, Sysmon.exe, wazuh-agent.exe, ipban.exe |
Еще одна утилита для завершения процессов защитных решений называется GhostDriver.exe и представляет собой одноименный открытый проект GhostDriver. В данном случае злоумышленники не модифицировали код и использовали версию с GitHub.
Пример вывода утилиты GhostDriver
Работа инструмента состоит из следующих этапов:
- Определение целевых процессов
Программа принимает список имен процессов (например, msmpeng.exe) через аргументы командной строки. Если список не задан, используется дефолтный набор. - Перечисление процессов в системе
Для поиска PID используются стандартные API Windows:- CreateToolhelp32Snapshot
- Process32First
- Process32Next
- Формирование списка процессов, которые необходимо завершить.
- Загрузка уязвимого драйвера
Это ключевой этап работы утилиты. В его рамках:- драйвер sys записывается на диск;
- создается сервис типа SERVICE_KERNEL_DRIVER;
- драйвер запускается через Service Control Manager (SCM).
GhostDriver.sys зашит внутри GhostDriver и представляет собой бинарный драйвер, известный как RentDrv2 (BadRentdrv2).
Он содержит уязвимость CVE-2023-44976, позволяющую:
- принимать команды в пользовательском режиме через DeviceIoControl;
- выполнять операции над процессами в режиме ядра;
- обходить механизмы защиты, включая Protected Process.
При запуске GhostDriver сохраняет RentDrv2 на диск, загружает в ядро Windows и подключается к нему через виртуальное устройство \\.\rentdrv2. После этого утилита отправляет драйверу команду 0x22E010 с идентификатором процесса-жертвы — и драйвер завершает этот процесс на уровне ядра.
GhostDriver работает в цикле. Каждые ~700 мс он повторно ищет целевые процессы и отправляет команды на их завершение.
После старта драйвера утилита пытается удалить файл ghostdriver.sys. Для этого она открывает дескриптор файла, через WinAPI-функцию SetFileInformationByHandle присваивает ему имя вида :GhostDriver, затем повторно открывает дескриптор и помечает файл на удаление через FileDispositionInfo. В конце работы она также пытается остановить и удалить сервис драйвера и стереть файл C:\rentdrv.log, в который драйвер пишет логи.
Пример команды злоумышленников, запускающей GhostDriver:
Актуальные версии продуктов «Лаборатории Касперского» устойчивы к подобным атакам — описанные утилиты не могут завершить их процессы.
Связь с шифровальщиком ClearWater
Наряду с уже описанными образцами Mythic Apollo (C2: 77.72.85[.]62), загрузчиками backupagnt.exe и скриптами для развертывания Panorama9 в нескольких атакованных инфраструктурах мы обнаружили новый шифровальщик ClearWater. Образец написан на C++ и собран с помощью GCC (MingGW). Он представляет собой 64-битный исполняемый файл для Windows. В нем не используется обфускация, более того, бинарный файл не был очищен от отладочной информации в формате DWARF. Это упрощает изучение образца и указывает либо на халатность разработчиков, либо на недостаток технических навыков.
Оригинальные названия функций, сохранившиеся в теле троянца
При запуске ClearWater логирует ход исполнения в отдельном окне консоли.
Окно консоли при запуске троянца
Шифрование файлов
Как и большинство программ-вымогателей, ClearWater — это троянец, который ищет и шифрует файлы жертвы. В его теле содержится открытый мастер-ключ RSA-2048 в формате PEM.
Для каждого файла шифровальщик генерирует новый 32-байтовый ключ и 12-байтовый вектор инициализации (nonce), в котором из 12 байт реально используется только 8, и шифрует содержимое файла симметричным алгоритмом ChaCha20. Ключ ChaCha шифруется алгоритмом RSA и помещается в специальную структуру в конце файла. При этом используется реализация криптографических алгоритмов из общедоступной библиотеки libsodium.
|
1 2 3 4 5 6 |
struct { uint8_t label[4]; //маркер 'M', 'Y', 'E', 'K' uint32_t rsa_encr_size; //размер зашифрованных алгоритмом RSA данных uint8_t rsa_encr_data[256]; //ключ chacha, зашифрованный RSA }; |
Троянец обрабатывает все файлы, кроме имеющих расширение .txt, что может привести к неработоспособности некоторых программ, так как шифруются и библиотеки, и исполняемые файлы. При этом системная директория из поиска исключается. Зашифрованные файлы получают дополнительное расширение .clear. Зловред ищет файлы на локальных дисках, а также на сетевых ресурсах SMB, список которых получает с помощью команды net view.
Дополнительная функциональность
В каждой обработанной директории троянец сохраняет требования злоумышленников в файле CLEARWATER_README.txt.
Текст требований
Также в автозагрузку путем модификации ключа реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run добавляется команда для открытия файла с требованиями через notepad.exe.
ClearWater распространяется внутри самораспаковывающегося архива. Скрипт самораспаковки выполняется в скрытом режиме (‘GUIMode=»2″‘), повышает привилегии через диалоговое окно UAC, сохраняет троянца по пути C:\ProgramData\ClearWater_x64.exe и запускает его, а после завершения работы шифровальщика удаляет SFX-архив (‘SelfDelete=»1″‘).
Помимо этого скрипта и исполняемого файла троянца, в архиве содержится изображение в формате BMP, которое шифровальщик устанавливает в качестве обоев рабочего стола (путем модификации реестра HKEY_USERS\<…>\Control Panel\Desktop\Wallpaper и вызова SystemParametersInfoA с параметром SPI_SETDESKWALLPAPER) и обоев экрана приветствия (путем модификации значений реестра LockScreenImagePath и LockScreenImageUrl, расположенных в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP).
Изображение для рабочего стола и экрана приветствия (два варианта)
Чтобы усложнить восстановление системы после атаки троянца, ClearWater выполняет несколько типичных для вымогателей действий.
- Удаляет теневые копии с помощью следующих команд:
- Удаляет каталог резервных копий и отключает Windows Restore:
- Удаляет точки восстановления:
- Отключает опцию восстановления системы при загрузке:
Также в ClearWater реализована функция <code.kill_all_non_whitelisted_processes() для завершения процессов, однако она не вызывается при исполнении. Эта функция с помощью PowerShell ищет и завершает процессы, имена которых не входят в список, содержащийся в теле троянца. Для этого применяется следующий код на PowerShell:
|
1 |
Get-Process|Where-Object{$w -notcontains $_.Name.ToLower()}|Stop-Process -Force |
Список процессов, которые завершать не нужно, содержит различные системные процессы и выглядит следующим образом:
|
1 |
system, idle, smss, csrss, wininit, services, lsass, winlogon, svchost, explorer, dwm, shellexperiencehost, runtimebroker, trustedinstaller, tiworker, textinputhost, taskhostw, mousocoreworker, fontdrvhost, audiodg, sihost, spoolsv, taskeng, taskhost, searchui, securityhealthservice, startmenuexperiencehost, searchindexer, backgroundtaskhost, sppsvc, wmiprvse, wudfhost, vboxservice, vboxtray, vmtoolsd, vmwaretray, vboxguest, vmsrvc, vgauthservice, vmacthlp, qemud, qemu-ga, msdtc, searchprotocolhost, wlanext, dllhost, conhost, comppkgsrv, msmpeng, mssecflt, systemsettings, securityhealthsystray, nvtray, nvvsvc, ravbg64, igfxtray, igfxem, igfxcuiservice, igfxhk, igfxext |
Обновленный Blackout Locker
В декабре 2025 года мы опубликовали отчет о сотрудничестве проукраинских групп, где описали инструмент Blackout Locker. В конце января 2026 года одна из них — группа 4BID — провела серию атак на организации в Российской Федерации с использованием обновленной версии этого вредоносного ПО. В этом блоке рассмотрим ее ключевые особенности, выявленные в ходе анализа.
Rust dropper
Атакующие распространяют Blackout Locker с помощью дроппера, написанного на Rust. В зависимости от образца дроппер сначала выполняет ряд подготовительных действий. После этого он записывает исполняемый файл полезной нагрузки в …\Users\[USERNAME]\AppData\Local\Microsoft\[REDACTED].dat, а затем меняет его расширение на .exe, вызывая командную строку Windows:
Переименованный исполняемый файл запускается.
Blackout Locker
Основной инструмент злоумышленников в исследованных атаках — обновленная версия Blackout Locker.
В ней появилась функциональность внедрения компонента блокировки экрана, который создается и запускается параллельно с фоновым выполнением основной полезной нагрузки программы-вымогателя.
На начальном этапе файл блокировки экрана создается по следующим путям:
Для запуска блокировщика экрана создается несколько задач:
Блокировщик экрана также записывается в следующие разделы реестра:
После этого с помощью PowerShell создаются два файла .lnk — SystemHelper.lnk и WindowsHelper.lnk — для последующего запуска.
- Первый файл размещается по пути %PROFILEPATH%\All users\Start menu\Programs\Startup:
- Второй файл размещается по пути %USERPROFILE%\Start menu\Programs\Startup:
В результате в каталоге автозагрузки создается ярлык, который указывает на WindowsSystemHelper.exe, расположенный на рабочем столе. Таким образом, блокировщик экрана будет запускаться каждый раз при входе пользователя в систему. Даже если жертва укажет правильный пароль в окне блокировщика, он продолжит появляться: хотя само окно закрывается после ввода пароля, соответствующая задача не удаляется.
Блокировщик экрана
В процессе выполнения Blackout Locker создается файл с именем README.txt. Впоследствии блокировщик экрана извлекает из него информацию для отображения пользователю. Некоторые образцы Blackout Locker создают записку с требованием выкупа на английском языке:
На экране блокировки она может выглядеть так:
Другие образцы выводят сообщение на русском языке:
Если программа не может прочитать файл README.txt, она переключается на жестко закодированное сообщение с требованием выкупа. Если оно написано на русском языке, но операционная система жертвы не поддерживает кириллические кодировки, на экране отображается набор символов.
География атак
Большинство атакованных инфраструктур принадлежит российским и белорусским организациям, что укладывается в декларируемую проукраинскими группировками повестку. Но впервые среди жертв оказались компании и в других странах, не имеющих отношения к этой повестке, — в Казахстане, ОАЭ, Сирии и Египте. Например, в сети казахстанской компании из авиаотрасли было обнаружено сразу несколько постэксплуатационных фреймворков с C2-серверами 77.72.85[.]62 и 185.221.153[.]121, следы работы RMM-решений Panorama9 и Tactical RMM, а также загрузчики backupagnt.exe. Аналогичная картина наблюдалась в инфраструктуре одного из госпиталей Египта, но к уже знакомому набору добавился веб-шелл fd.aspx. У остальных зарубежных жертв мы видели схожий набор артефактов за небольшими исключениями.
Если раньше основным вектором атак были Россия и Беларусь, то теперь злоумышленников интересуют, по всей видимости, другие страны СНГ и Ближний Восток. Такое поведение коррелирует с заявлением одного из участников группировки 4BID о том, что атаки на РФ больше не рентабельны.
Заключение
В настоящее время проукраинские хактивистские группировки, упомянутые в этом исследовании, последовательно расширяют географию своих атак, выходя за пределы России и стран СНГ. Подобная трансформация все отчетливее указывает на постепенный переход от декларируемой идеологической мотивации к деятельности, в основе которой все чаще прослеживаются финансовые интересы, что может влиять на выбор жертв и является закономерным вектором эволюции подобных группировок.
Это лишний раз подчеркивает важность постоянного мониторинга ландшафта угроз. Чтобы оставаться на шаг впереди злоумышленников, организациям стоит не только быть в курсе тех угроз, которые актуальны для них в данный момент, но и отслеживать новые угрозы, в том числе деятельность групп, атакующих конкретные отрасли или регионы.
Детектирование решениями «Лаборатории Касперского»
Решения «Лаборатории Касперского» эффективно обнаруживают описанную вредоносную активность на каждом этапе. В этом разделе представлены возможные сценарии обнаружения.
Использование общедоступного ПО двойного назначения оставляет на целевых хостах множество артефактов, которые позволяют выявлять активность этих утилит с помощью Kaspersky Endpoint Detection and Response Expert.
Например, при сетевых соединениях с серверами Panorama9 — как при первом запуске ПО, так и в ходе работы этого инструмента — срабатывает правило panorama9_dns_activity. В разделе Hunt Hub нашего TI‑портала можно найти детектирующие правила для других типов событий, а также для конкретных ОС по ключевому запросу panorama9. Аналогичные правила существуют и для прочих описанных утилит: Tactical RMM, Nezha Monitoring и Dev Tunnels.
Утилита GhostDriver.exe в ходе работы создает на целевом хосте уязвимый драйвер. Создание таких драйверов выявляется правилами семейства vuln_driver_created_by_unsigned_process.
Шифровальщики по своей природе довольно «шумные», поэтому их можно детектировать на разных этапах выполнения. На графе выполнения в Kaspersky Cloud Sandbox на портале Threat Intelligence можно увидеть цепочку выполнения вредоносного файла шифровальщика ClearWater с изменением обоев рабочего стола и удалением теневых копий.
Граф выполнения ClearWater в Kaspersky Cloud Sandbox
Также на портале Kaspersky Threat Intelligence в разделах Threat Lookup и Research Graph можно визуализировать и посмотреть связи вредоносных доменов и файлов, используемых злоумышленниками.
Визуализация через Research Graph на Kaspersky Threat Intelligence Portal
Демонстрация связи вредоносных файлов с IP-адресом злоумышленников в Kaspersky Threat Lookup
Еще один эффективный способ обнаружения вредоносной активности, описанной в статье, — это мониторинг сетевого трафика. Решение Kaspersky Anti Targeted Attack (KATA) с модулем NDR обнаруживает сетевые коммуникации всех рассмотренных вредоносных образцов, используемых в рамках описанной кампании.
Например, при обнаружении сетевой активности по протоколу HTTP, характерной для бэкдора BlackSalt, система формирует оповещение о срабатывании правила Backdoor.BlackSalt.HTTP.C&C.
Примеры обнаружения активности других агентов из статьи с помощью платформы Kaspersky Anti Targeted Attack (KATA) с модулем NDR, а также их детальный технический анализ, доступны в наших материалах о детектировании Adaptix и Mythic.
Индикаторы компрометации
Сетевые индикаторы
212.46.12[.]182
185.221.153[.]121
77.72.85[.]62
45.150.109[.]2
130.49.155[.]112
45.112.194[.]82
138.226.236[.]52
85.137.253[.]186
Авторы
Идейные только на словах: реальная география атак хактивистов