Новая APT-группировка атакует ТЭК и авиационную промышленность России ради данных
30 сентября 2021 года
Специалисты экспертного центра безопасности Positive Technologies ( PT Expert Security Center ) выявили новую, ранее неизвестную APT-группировку, получившую название ChamelGang. Основными ее целями в России пока являются организации топливно-энергетического комплекса и авиационной промышленности, а интерес злоумышленников направлен на хищение данных из скомпрометированных сетей. Первые атаки группы типа trusted relationship были зарегистрированы в марте 2021 года.
«Сам по себе факт атаки не является чем-то уникальным: предприятия этой сферы входят в тройку наиболее часто атакуемых отраслей. При этом наиболее часто такие атаки приводят к потере данных или финансов — в 84% случаев злоумышленники в прошлом году нацеливались именно на хищение информации, — поясняет Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies. — Промышленные предприятия далеко не всегда способны самостоятельно выявить целенаправленную кибератаку и на протяжении многих лет могут оставаться в иллюзии безопасности, рассматривая вероятность реализации недопустимых событий как минимальную. Однако на практике злоумышленник более чем в 90% случаев может проникнуть в корпоративную сеть промышленного предприятия, и почти каждое такое проникновение приводит к полному контролю над инфраструктурой целевой организации. Результатом более половины таких атак становится совершение того самого недопустимого события — хищение данных о партнерах и сотрудниках компании, почтовой переписки и внутренней документации».
Команда по реагированию на инциденты ИБ экспертного центра безопасности Positive Technologies ( PT Expert Security Center ) при проведении расследований в российских компаниях топливно-энергетического и авиапромышленного секторов обнаружила новую киберпреступную группировку ChamelGang, использующую актуальный сегодня тип атак — trusted relationship.
Так, для получения доступа в сеть целевого предприятия в первом случае группа скомпрометировала дочернюю организацию, используя уязвимую версию веб-приложения на платформе с открытым исходным кодом JBoss Application Server. Проэксплуатировав уязвимость CVE-2017-12149, закрытую поставщиком Red Hat более четырех лет назад, хакеры получили возможность удаленного исполнения команд на узле. Спустя две недели (что, по оценке экспертов Positive Technologies, очень быстро) группа смогла скомпрометировать головную компанию: злоумышленники узнали словарный пароль локального администратора на одном из серверов в изолированном сегменте и проникли в ее сеть по протоколу RDP (Remote Desktop Protocol). Оставаясь необнаруженными, атакующие находились в корпоративной сети в течение трех месяцев; изучив ее, они получили контроль над большей ее частью, включая критически важные серверы и узлы в разных сегментах. Как показало расследование, APT-группировку интересовали данные, которые им и удалось похитить.
Во втором случае для проникновения в инфраструктуру злоумышленники воспользовались цепочкой связанных уязвимостей в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) — ProxyShell. О ней стало известно в публичном поле в августе этого года, и за прошедшие полтора месяца она активно эксплуатировалась различными АРТ-группами. Злоумышленники получили доступ к почтовым серверам компании использовав бэкдор, который на момент атаки не определялся большинством антивирусных решений. Как и в первом случае, группировка была нацелена на хищение данных, однако оперативное обнаружение APT-группы и противодействие ей позволило предотвратить хищение данных: злоумышленники присутствовали в инфраструктуре атакованной организации всего восемь дней и значимого ущерба нанести не успели.
Отличительной особенностью атак группы ChamelGang является использование нового, ранее никем не описанного вредоносного ПО — ProxyT, BeaconLoader, бэкдора DoorMe. Последний относится к пассивным бэкдорам, что значительно усложняет его обнаружение. Кроме того, в своем инструментарии группа имеет и уже известные вредоносные программы, в частности FRP, Cobalt Strike Beacon, Tiny shell.
«Среди обнаруженных нами образцов ВПО самый интересный — бэкдор DoorMe. По сути, он является нативным модулем IIS, который регистрируется как фильтр, через который проходит обработка HTTP-запросов и ответов. Его принцип работы нераспространенный: бэкдор обрабатывает только те запросы, в которых задан верный параметр cookie. На момент расследования инцидента DoorMe не детектировался средствами антивирусной защиты, и хотя техника установки этого бэкдора известна, за последнее время мы впервые видим ее использование, — отмечает Денис Гойденко, руководитель отдела реагирования на угрозы ИБ Positive Technologies. — Бэкдор дает злоумышленникам довольно широкие возможности в захваченных системах: он способен выполнять команды посредством cmd.exe и создания нового процесса, записывать файлы двумя способами и копировать метки времени. В общей сложности реализовано шесть различных команд».
Свое название ChamelGang (от англ. chameleon) группировка получила за использование правдоподобных фишинговых доменов и особенностей операционных систем для маскировки вредоносного ПО и сетевой инфраструктуры. Например, злоумышленники регистрируют фишинговые домены, имитирующие легитимные сервисы крупных международных компаний — Microsoft, TrendMicro, McAfee, IBM и Google, — в том числе их сервисы поддержки, доставки контента и обновлений. В ходе изучения активности группировки специалисты PT ESC
обнаружили домены new trendmicro.com, central google.com, microsoft-support.net, cdn- chrome.com, mcafee-upgrade.com. Также на своих серверах APT-группа размещала SSL-сертификаты, которые имитировали легитимные (github.com, www.ibm.com, jquery.com, update.microsoft-support.net).
Эксперты Positive Technologies пока не отнесли ChamelGang к какой-либо конкретной стране. Помимо того, что APT-группировка нацелена на ТЭК и ��виационную промышленность России, ее жертвами, согласно полученным данным, также стали учреждения в десяти странах, в числе которых Индия, Непал, США, Тайвань, Япония и Германия. При этом в некоторых странах специалисты PT ESC
обнаружили скомпрометированные правительственные серверы. Все пострадавшие компании получили уведомления по линии национальных CERT.
Источники
[править]Эта статья содержит материалы из статьи «Новая APT-группировка атакует ТЭК и авиационную промышленность России ради данных», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.