_DED_THEBURNET_KADROVIK_@ERNICK66_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%BD%D0%BE.png)
Была обнаружена новая фишинговая кампания, использующая
фреймворк Havoc с открытым исходным кодом для управления и
контроля (C2).
Злоумышленники используют модифицированные версии Havoc
Demon Agent вместе с Microsoft Graph API для управления заражёнными системами
через SharePoint.
Согласно новому предупреждению от FortiGuard Labs, кампания
начинается с фишингового электронного письма, содержащего вложение в формате
HTML под названием «Documents.html». Вложение содержит атаку ClickFix — тактику социальной инженерии, которая
обманом заставляет пользователей копировать и выполнять вредоносную команду
PowerShell. После выполнения эта команда загружает удалённый скрипт
PowerShell с URL-адреса, расположенного на сервере SharePoint.
Этот скрипт сначала проверяет наличие изолированных сред,
прежде чем изменять записи системного реестра для установления маркеров
заражения. Если интерпретатор Python не найден, скрипт загружает его,
прежде чем извлекать и запускать скрытый загрузчик шеллкода Python.
Этот загрузчик содержит сообщения об ошибках на русском
языке. Он предназначен для выполнения кода в памяти и позволяет
злоумышленникам сохранять активность.
Прячется у всех на виду
Важнейшим компонентом атаки является использование KaynLdr —
загрузчика шелл-кода на GitHub, который использует хеширование API для сокрытия
своего выполнения. После загрузки модифицированная DLL Havoc Demon
инициирует связь с сервером C2 через Microsoft Graph API, встраивая свою
активность в легитимные функции SharePoint.
«Эта фишинговая кампания, в которой используется ClickFix и
многоэтапное вредоносное ПО для запуска модифицированного агента Havoc Demon,
отражает растущую сложность кибератак», — прокомментировал Эрик Швейк, директор
по стратегии кибербезопасности в Salt Security.
«Особую тревогу вызывает тактика сокрытия этапов заражения
вредоносным ПО на сайтах SharePoint и использование Microsoft Graph API для
маскировки связи с командным центром. Этот метод использует доверие к
хорошо зарекомендовавшим себя сервисам, что значительно усложняет обнаружение».
Вредоносная программа создаёт два файла в библиотеке
документов SharePoint, используя идентификаторы жертвы:
- {VictimID}pD9-tKout
— передает украденные данные
- {VictimID}pD9-tKin
— получает команды с сервера C2
Все сообщения шифруются с помощью AES-256 в режиме CTR, что
обеспечивает конфиденциальность передаваемых данных. Вредоносная программа
регулярно проверяет наличие новых инструкций, что позволяет злоумышленникам
выполнять команды, извлекать данные, манипулировать токенами пользователей и
проводить атаки Kerberos.
Последствия и меры предосторожности
Томас Ричардс, главный консультант Black Duck, отметил, что
«эти группы злоумышленников стремятся к сокрытию [для] достижения своих
целей. Нередко можно увидеть, как они используют фреймворки с открытым
исходным кодом. Однако использование законных сервисов Microsoft
свидетельствует о высоком уровне сложности, что вызывает беспокойство».
В более широком смысле эта атака показывает, как злоумышленники продолжают использовать общедоступные инструменты и сервисы, чтобы избежать обнаружения. Используя Microsoft Graph API и SharePoint, злоумышленники маскируют вредоносный трафик под законную корпоративную активность, что делает традиционные методы обнаружения менее эффективными
DED_THEBURNET_KADROVIK_@ERNICK66.png){kind=spacer}
.
Чтобы снизить свой риск, организациям следует:
- Обучите
сотрудников распознавать попытки фишинга
- Ограничить
выполнение неавторизованных сценариев PowerShell
- Отслеживайте
активность SharePoint на предмет создания необычных файлов
- Внедрить
расширенное обнаружение угроз, способное идентифицировать трафик C2
«Проактивно устраняя риски для
безопасности API, организации могут уменьшить количество уязвимостей и помешать
злоумышленникам использовать их, как в случае с этой атакой, в которой
использовался Microsoft Graph API», — заключил Швайк.
дополнительная информация.
Комментариев нет:
Отправить комментарий