Lemon Duck: участники атакуют серверы Microsoft Exchange, внедряют новые TTP
Управляющее резюме
С апреля 2021 года Cisco Talos наблюдала за обновленной инфраструктурой и новыми компонентами, связанными с ботнетом для майнинга криптовалюты Lemon Duck, который нацелен на непропатченные серверы Microsoft Exchange и пытается загружать и выполнять полезные данные для маяков Cobalt Strike DNS. Это действие отражает обновленные тактики, методы и процедуры, связанные с этим субъектом угрозы. После того, как 2 марта было обнародовано несколько уязвимостей Microsoft Exchange Server нулевого дня, Cisco Talos и несколько других исследователей безопасности начали наблюдать за различными субъектами угроз, включая Lemon Duck, использующие эти уязвимости для первоначального использования до того, как были выпущены исправления безопасности. 25 марта Microsoft выпустила отчет, в котором подчеркивается, что Lemon Duck нацелился на серверы Exchange для установки вредоносного ПО для майнинга криптовалюты и загрузчика, который использовался для доставки вторичных вредоносных программ, таких как кражи информации. Мы также обнаружили, что субъекты Lemon Duck генерируют поддельные домены на восточноазиатских доменах верхнего уровня (TLD) для маскировки соединений со своим законным доменом C2, по крайней мере, с февраля 2020 года, подчеркнув еще одну попытку повысить эффективность своих операций. Ниже мы расскажем об изменениях TTP, используемых Lemon Duck в недавних кампаниях, поскольку они относятся к различным этапам этих атак.
Недавние кампании и виктимология
Первоначально исследователи Cisco Talos выявили заметное увеличение объема DNS-запросов, выполняемых для четырех недавно обнаруженных доменов Lemon Duck:
t [.] hwqloan [.] com
d [.] hwqloan [.] com
t [.] ouler [.] cc
ps2 [.] jusanrihua [.] com
Этот всплеск, произошедший 9 апреля 2021 года, совпал с активностью заражения, собранной в наших телеметрических системах, связанных с этими же доменами. Мы наблюдали самый большой всплеск запросов для ps2 [.] Jusanrihua [.] Com, пик которого пришелся на 13 апреля, затем он снизился, а затем снова резко увеличился 26 апреля.
При более внимательном рассмотрении географического распределения запросов на разрешение доменов, связанных с этой деятельностью, мы заметили, что большинство из них исходят из Северной Америки, за ней следуют Европа, Юго-Восточная Азия, а еще несколько - из Южной Америки и Африки. Это контрастирует с распределением запросов, наблюдавшимся в октябре 2020 года, как описано в нашей предыдущей публикации, где большинство запросов было отправлено из Азии.
Примечательно, что для одного из этих доменов, d [.] Hwqloan [.] Com, более шестидесяти процентов DNS-запросов были отправлены из Индии. Мы определили, что эта активность была связана с зараженными системами, пытающимися связаться с инфраструктурой Lemon Duck. Поскольку связь с этими доменами обычно происходит во время процесса заражения Lemon Duck, эта активность может указывать на географическое распределение жертв этих кампаний.
В первоначальном обзоре Lemon Duck Талосом мы описали множественные совпадения между Lemon Duck и другим вредоносным ПО для майнинга криптовалют, Beapy (также известным как Pcastle), которое ранее было нацелено на Восточную Азию. В то же время инфекции Lemon Duck, о которых сообщали другие исследователи в области безопасности, наблюдались в гораздо более высоких концентрациях в Китае. Хотя наблюдаемая в настоящее время виктимология и методы распространения Lemon Duck в значительной степени неизбирательны, примечательным является кажущееся исключительным использование TLD с кодом страны (ccTLD) для Китая, Японии и Южной Кореи в поддельных доменах, записанных в файл hosts Windows, как описано в разделе «Управление и контроль (C2)» ниже.
Учитывая, что эти ccTLD чаще всего используются для веб-сайтов в своих странах и на соответствующих языках, также интересно, что они использовались, а не более общие и глобально используемые TLD, такие как «.com» или «.net». Это может позволить злоумышленнику более эффективно скрыть связь C2 среди прочего веб-трафика, присутствующего в среде жертвы. Из-за преобладания доменов, использующих эти ccTLD, веб-трафик к доменам, использующим ccTLD, может быть более легко отнесен к потерпевшим в этих странах как шум. Это может добавить еще одно потенциальное совпадение с Beapy, поскольку каждый из них продемонстрировал ТТП, предполагающие возможное нацеливание на жертв в Восточной Азии. Однако без дополнительных доказательств эта конкретная связь остается низкой достоверностью, хотя она интересна в контексте других совпадений между двумя семействами.
Заметные изменения в ТТП Lemon Duck
Talos заметил несколько недавних изменений в тактике, техниках и процедурах, используемых Lemon Duck. Это демонстрирует, что этот злоумышленник постоянно развивает свой подход, чтобы максимально увеличить свои возможности для достижения своих целей. В ходе нашего анализа недавних кампаний Lemon Duck мы заметили, что злоумышленник теперь использует новую инфраструктуру, включая дополнительные инструменты и функции, свою методологию атак и рабочий процесс, а также уделяет больше внимания скрытию различных компонентов, используемых на протяжении всего процесса заражения, в попытке защитить себя, более эффективно уклоняется от обнаружения и анализа. Кроме того, злоумышленник нацелен на известные уязвимости программного обеспечения, которые могут позволить ему более эффективно закрепиться в среде жертвы. В следующих разделах более подробно описаны эти изменения на каждом этапе жизненного цикла атаки.
Доставка и первоначальная эксплуатация
Lemon Duck имеет возможности самораспространения и модульную структуру, которая позволяет ему распространяться по сетевым соединениям для заражения дополнительных систем, которые становятся частью ботнета Lemon Duck, и приносить доход злоумышленникам за счет добычи криптовалюты. Автоматическая эксплуатация уязвимостей программного обеспечения - один из механизмов, используемых Lemon Duck для установления начального доступа и распространения в сетевой среде. Операторы Lemon Duck ранее использовали несколько эксплойтов для уязвимостей, таких как SMBGhost и EternalBlue, и, похоже, со временем внедряют новый код эксплойта и нацелены на дополнительные уязвимости программного обеспечения, чтобы гарантировать, что они могут продолжать распространять вредоносное ПО на новые хосты и поддерживать размер ботнета и поток доходов генерируемый скомпрометированными хостами.
Lemon Duck нацелен на Microsoft Exchange
Talos оценивает со средней степенью уверенности, что это, вероятно, более новые компоненты Lemon Duck, связанные с нацеливанием на уязвимости Microsoft Exchange Server. Целевыми уязвимостями, для которых Microsoft с тех пор выпустила исправления, являются CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065. Об этих уязвимостях было сообщено 2 марта 2021 года, и они затрагивают Microsoft Exchange Server версий 2013, 2016 и 2019 годов. Они использовались множеством злоумышленников, нацеленных на серверы Microsoft Exchange по всему миру.
Хотя мы не смогли определить точный вектор эксплуатации, использованный в этой кампании, участники, похоже, нацелены на непропатченные серверы Exchange, отбрасывая веб-оболочки и применяя несколько методов, которые согласуются с предыдущими отчетами о действиях после взлома, использующих эти уязвимости, как обсуждалось в раздел «Действия после взлома на серверах Exchange» ниже.
С апреля 2021 года Cisco Talos наблюдала за обновленной инфраструктурой и новыми компонентами, связанными с ботнетом для майнинга криптовалюты Lemon Duck, который нацелен на непропатченные серверы Microsoft Exchange и пытается загружать и выполнять полезные данные для маяков Cobalt Strike DNS. Это действие отражает обновленные тактики, методы и процедуры, связанные с этим субъектом угрозы. После того, как 2 марта было обнародовано несколько уязвимостей Microsoft Exchange Server нулевого дня, Cisco Talos и несколько других исследователей безопасности начали наблюдать за различными субъектами угроз, включая Lemon Duck, использующие эти уязвимости для первоначального использования до того, как были выпущены исправления безопасности. 25 марта Microsoft выпустила отчет, в котором подчеркивается, что Lemon Duck нацелился на серверы Exchange для установки вредоносного ПО для майнинга криптовалюты и загрузчика, который использовался для доставки вторичных вредоносных программ, таких как кражи информации. Мы также обнаружили, что субъекты Lemon Duck генерируют поддельные домены на восточноазиатских доменах верхнего уровня (TLD) для маскировки соединений со своим законным доменом C2, по крайней мере, с февраля 2020 года, подчеркнув еще одну попытку повысить эффективность своих операций. Ниже мы расскажем об изменениях TTP, используемых Lemon Duck в недавних кампаниях, поскольку они относятся к различным этапам этих атак.
Недавние кампании и виктимология
Первоначально исследователи Cisco Talos выявили заметное увеличение объема DNS-запросов, выполняемых для четырех недавно обнаруженных доменов Lemon Duck:
t [.] hwqloan [.] com
d [.] hwqloan [.] com
t [.] ouler [.] cc
ps2 [.] jusanrihua [.] com
Этот всплеск, произошедший 9 апреля 2021 года, совпал с активностью заражения, собранной в наших телеметрических системах, связанных с этими же доменами. Мы наблюдали самый большой всплеск запросов для ps2 [.] Jusanrihua [.] Com, пик которого пришелся на 13 апреля, затем он снизился, а затем снова резко увеличился 26 апреля.
При более внимательном рассмотрении географического распределения запросов на разрешение доменов, связанных с этой деятельностью, мы заметили, что большинство из них исходят из Северной Америки, за ней следуют Европа, Юго-Восточная Азия, а еще несколько - из Южной Америки и Африки. Это контрастирует с распределением запросов, наблюдавшимся в октябре 2020 года, как описано в нашей предыдущей публикации, где большинство запросов было отправлено из Азии.
Примечательно, что для одного из этих доменов, d [.] Hwqloan [.] Com, более шестидесяти процентов DNS-запросов были отправлены из Индии. Мы определили, что эта активность была связана с зараженными системами, пытающимися связаться с инфраструктурой Lemon Duck. Поскольку связь с этими доменами обычно происходит во время процесса заражения Lemon Duck, эта активность может указывать на географическое распределение жертв этих кампаний.
В первоначальном обзоре Lemon Duck Талосом мы описали множественные совпадения между Lemon Duck и другим вредоносным ПО для майнинга криптовалют, Beapy (также известным как Pcastle), которое ранее было нацелено на Восточную Азию. В то же время инфекции Lemon Duck, о которых сообщали другие исследователи в области безопасности, наблюдались в гораздо более высоких концентрациях в Китае. Хотя наблюдаемая в настоящее время виктимология и методы распространения Lemon Duck в значительной степени неизбирательны, примечательным является кажущееся исключительным использование TLD с кодом страны (ccTLD) для Китая, Японии и Южной Кореи в поддельных доменах, записанных в файл hosts Windows, как описано в разделе «Управление и контроль (C2)» ниже.
Учитывая, что эти ccTLD чаще всего используются для веб-сайтов в своих странах и на соответствующих языках, также интересно, что они использовались, а не более общие и глобально используемые TLD, такие как «.com» или «.net». Это может позволить злоумышленнику более эффективно скрыть связь C2 среди прочего веб-трафика, присутствующего в среде жертвы. Из-за преобладания доменов, использующих эти ccTLD, веб-трафик к доменам, использующим ccTLD, может быть более легко отнесен к потерпевшим в этих странах как шум. Это может добавить еще одно потенциальное совпадение с Beapy, поскольку каждый из них продемонстрировал ТТП, предполагающие возможное нацеливание на жертв в Восточной Азии. Однако без дополнительных доказательств эта конкретная связь остается низкой достоверностью, хотя она интересна в контексте других совпадений между двумя семействами.
Заметные изменения в ТТП Lemon Duck
Talos заметил несколько недавних изменений в тактике, техниках и процедурах, используемых Lemon Duck. Это демонстрирует, что этот злоумышленник постоянно развивает свой подход, чтобы максимально увеличить свои возможности для достижения своих целей. В ходе нашего анализа недавних кампаний Lemon Duck мы заметили, что злоумышленник теперь использует новую инфраструктуру, включая дополнительные инструменты и функции, свою методологию атак и рабочий процесс, а также уделяет больше внимания скрытию различных компонентов, используемых на протяжении всего процесса заражения, в попытке защитить себя, более эффективно уклоняется от обнаружения и анализа. Кроме того, злоумышленник нацелен на известные уязвимости программного обеспечения, которые могут позволить ему более эффективно закрепиться в среде жертвы. В следующих разделах более подробно описаны эти изменения на каждом этапе жизненного цикла атаки.
Доставка и первоначальная эксплуатация
Lemon Duck имеет возможности самораспространения и модульную структуру, которая позволяет ему распространяться по сетевым соединениям для заражения дополнительных систем, которые становятся частью ботнета Lemon Duck, и приносить доход злоумышленникам за счет добычи криптовалюты. Автоматическая эксплуатация уязвимостей программного обеспечения - один из механизмов, используемых Lemon Duck для установления начального доступа и распространения в сетевой среде. Операторы Lemon Duck ранее использовали несколько эксплойтов для уязвимостей, таких как SMBGhost и EternalBlue, и, похоже, со временем внедряют новый код эксплойта и нацелены на дополнительные уязвимости программного обеспечения, чтобы гарантировать, что они могут продолжать распространять вредоносное ПО на новые хосты и поддерживать размер ботнета и поток доходов генерируемый скомпрометированными хостами.
Lemon Duck нацелен на Microsoft Exchange
Talos оценивает со средней степенью уверенности, что это, вероятно, более новые компоненты Lemon Duck, связанные с нацеливанием на уязвимости Microsoft Exchange Server. Целевыми уязвимостями, для которых Microsoft с тех пор выпустила исправления, являются CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065. Об этих уязвимостях было сообщено 2 марта 2021 года, и они затрагивают Microsoft Exchange Server версий 2013, 2016 и 2019 годов. Они использовались множеством злоумышленников, нацеленных на серверы Microsoft Exchange по всему миру.
Хотя мы не смогли определить точный вектор эксплуатации, использованный в этой кампании, участники, похоже, нацелены на непропатченные серверы Exchange, отбрасывая веб-оболочки и применяя несколько методов, которые согласуются с предыдущими отчетами о действиях после взлома, использующих эти уязвимости, как обсуждалось в раздел «Действия после взлома на серверах Exchange» ниже.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
После того, как Lemon Duck взломал новую систему, последующий процесс заражения имеет несколько примечательных характеристик. Во многих случаях скомпрометированные системы пытаются получить дополнительные компоненты и модули с веб-серверов, контролируемых злоумышленником. Мы наблюдали типичные попытки загрузки Lemon Duck в данных телеметрии для таких файлов, как «ipc.jsp» и «aa.jsp» на конечных точках. Эта активность была связана с ранее описанными доменами Lemon Duck, такими как t [.] Netcatkit [.] Com и t [.] Bb3u9 [.] Com.
Эти файлы содержат инструкции PowerShell, которые выполняются системой и отвечают за сообщение об успешном заражении и сбор системной информации с машины-жертвы, такой как имя компьютера, GUID и MAC-адрес, которые затем передаются обратно злоумышленнику.
После первоначальной передачи маяка и сбора системной информации по следующему URL-адресу был получен файл Portable Executable (PE) в кодировке base64 (6be5847c5b80be8858e1ff0ece401851886428b1f22444212250133d49b5ee30):
хттп [:] // t [.] hwqloan [.] com / t.txt
После декодирования PE выполнил несколько команд с помощью команды «wmic.exe» инструментария управления Windows (WMI) для удаления антивирусных программ и продуктов безопасности, таких как ESET и Kaspersky. Он также остановил и удалил различные службы, связанные с безопасностью, такие как компонент Windows Update, wuauserv и Защитник Windows. Некоторые примеры этого удаления можно увидеть на скриншоте ниже.
WMIC удаляет продукты AV.
При анализе PE мы наблюдали выполнение сценария PowerShell, который загрузил и выполнил дополнительную полезную нагрузку вредоносного ПО, «syspstem.dat», из hxxp [:] // d [.] Hwqloan [.] Com, недавно обнаруженного субдомена для hwqloan [.] com. Эта полезная нагрузка была исполняемым файлом Python и, вероятно, была связана с модулем на основе Python, описанным в нашей предыдущей публикации. Он включает модуль-убийцу, который содержит жестко запрограммированный список имен сервисов, которые Lemon Duck использует для отключения конкурирующих майнеров криптовалюты. После загрузки он сохраняется в каталоге AppData \ Local \ Temp \, где последующий сценарий PowerShell проверяет, соответствует ли хэш-значение файла MD5 жестко заданному значению. Предполагая, что проверка пройдена, он создает запланированную задачу под названием «syspstem» и настраивает ее на выполнение каждые 50 минут, как показано ниже.
«syspstem» создание запланированной задачи.
Затем PE-файл выполняет HTTP-запрос GET для загрузки удаленного ресурса из hxxp [:] // ps2 [.] Jusanrihua [.] Com / ps, который на момент анализа оказался неработающим и / или недоступным, что привело к при сбое загрузки.
Как и в предыдущих кампаниях Lemon Duck, мы наблюдали использование встроенных утилит командной строки Windows и автономных двоичных файлов или «LoLBins» для выполнения различных задач на протяжении всего процесса заражения. Также было создано несколько запланированных задач для различных целей, включая обеспечение устойчивости при перезагрузке системы.
В более поздних кампаниях мы наблюдали несколько заметных изменений в процессе заражения. Злоумышленник теперь использует CertUtil для загрузки и выполнения двух новых вредоносных сценариев PowerShell, «dns» и «shell.txt», которые извлекаются с веб-сервера, управляемого злоумышленником (hxxp [:] // t [.] Hwqloan [. ] com) и сохраняются как «dn.ps1» и «c.ps1» соответственно.
Сценарий PowerShell «dn.ps1» пытается удалить несколько продуктов AV, аналогично тому, что было описано ранее, и настраивает запланированную задачу, которая будет выполнять последующий сценарий PowerShell. Он также устанавливает процедуры сохранения, которые пытаются загрузить и выполнить контент, полученный с каждого из следующих URL-адресов:
hxxp [:] // t [.] hwqloan [.] com / dns
hxxp [:] // t [.] ouler [.] cc / dns
hxxp [:] // ps2 [.] jusanrihua [.] com / dns
В частности, URL-адрес hxxp [:] // ps2 [.] Jusanrihua [.] Com / dns используется для получения полезной нагрузки Cobalt Strike. Это новая эволюция в наборе инструментов Lemon Duck. Для получения подробной информации о полезной нагрузке Cobalt Strike и о том, как она используется в кампаниях Lemon Duck, обратитесь к разделу «Командование и управление (C2)».
Сценарий PowerShell «c.ps1» содержит несколько команд CertUtil, которые используются для загрузки дополнительных полезных данных, таких как вариант майнера криптовалюты XMRig «m6.exe», который Lemon Duck использовал в прошлом. Это действие также соответствует активности, о которой здесь ранее сообщалось.
На основе анализа действий системы, связанных с этими кампаниями, дополнительные действия по обнаружению и нацеливанию после взлома могут быть выполнены, как описано в разделе «Разведка и обнаружение сервера Exchange». После выполнения полезной нагрузки для майнинга криптовалюты сценарий PowerShell отвечает за очистку различных артефактов и удаление индикаторов компрометации, таких как вышеупомянутые «dn.ps1» и «c.ps1» из зараженной системы.
Действия после взлома, нацеленные на серверы Exchange
При анализе телеметрии, связанной с текущими кампаниями Lemon Duck, мы выявили вредоносную активность, осуществляемую на конечных точках, имена хостов которых указывали на то, что они могут быть почтовыми серверами, на которых работает Microsoft Exchange. Это повысило нашу уверенность в том, что они могли быть скомпрометированы попытками эксплуатации, нацеленными на ранее описанные уязвимости Microsoft Exchange, с загруженными вариантами известных веб-оболочек после успешного взлома системы. В следующем разделе описывается вредоносная активность, обнаруженная в этих системах, которая может указывать на то, что злоумышленники теперь проявляют особый интерес к компрометации серверов Microsoft Exchange и их использованию в гнусных целях.
Создание каталога Exchange Server
При анализе вредоносной активности, обнаруженной на скомпрометированных системах, предположительно являющихся серверами Exchange, мы выявили выполнение интересных системных команд с помощью Windows Control Manager (sc.exe). Этот собственный исполняемый файл Windows использовался для задания описаний служб, настройки служб и запуска служб в скомпрометированных системах. Пример этого можно увидеть ниже:
"sc.exe" используется для настройки и запуска служб в скомпрометированных системах.
Интересно, что DisplayName, используемое в этом случае, содержало значение «Microsofts» и, по-видимому, было ссылкой на «Службу проверки антивирусной сети Защитника Windows», которая, согласно этому описанию службы (WdNisSvc), помогает защититься от попыток вторжений. известные и недавно обнаруженные уязвимости в сетевых протоколах ».
Мы также наблюдали создание различных каталогов в веб-каталоге IIS на зараженных системах. Пример этого можно увидеть ниже.
Создание и использование этой структуры каталогов согласуется с предыдущими отчетами о различных TTP, связанных с успешными атаками на серверы Exchange с использованием уязвимостей, описанных ранее в разделе «Lemon Duck нацелен на Microsoft Exchange».
Злоумышленник также скопировал в него несколько файлов, в том числе два файла .ASPX с именами «wanlins.aspx» и «wanlin.aspx». Эти файлы, скорее всего, являются веб-оболочками и были скопированы из C: \ inetpub \ wwwroot \ aspnet_client \, известного каталога, в котором первоначально наблюдалось большинство веб-оболочек после публикации Microsoft подробностей, связанных с деятельностью Hafnium. Пример этого можно увидеть ниже.
Этот вновь созданный каталог, по-видимому, является рабочей средой актора (\ js \ demo) и, вероятно, использовался субъектом для размещения файлов на ранней стадии атаки после взлома. В конце марта 2021 года здесь сообщалось, что файл с именем «wanlin.aspx» был замечен как часть большого количества запросов на зондирование веб-оболочки, которые, как предполагалось, были частью сканирования, проводимого поставщиками средств безопасности и исследовательскими организациями. Эти же имена файлов были также идентифицированы исследователями безопасности как связанные с различными веб-оболочками, которые были идентифицированы почти через месяц после первоначальной публикации Microsoft, связанной с использованием злоумышленниками этих уязвимостей Exchange злоумышленниками.
Команда Windows "attrib" также использовалась для установки атрибутов файла архива, атрибута системного файла, атрибута только для чтения и атрибута скрытого файла для ранее созданных файлов и каталогов, вероятно, как способ скрыть действия актера в системе. .
Изменение атрибутов файла с помощью команды "attrib".
Затем мы наблюдали, как команда echo используется для записи кода, связанного с веб-оболочкой, в ранее созданные файлы ASPX. В этом случае несколько характеристик совпадали с частями кода, связанными с известными вариантами China Chopper, выявленными через несколько дней после публикации уязвимостей Exchange Server. Пример этого можно увидеть ниже.
Атрибут runat = server заставляет скрипт обрабатываться на стороне сервера, а не на стороне клиента, в то время как JScript указывается в качестве языка, используемого для блока скрипта. Исследователи ранее отмечали множество разновидностей веб-оболочек China Chopper, сброшенных в результате атак, использующих уязвимости Exchange до того, как были выпущены исправления безопасности. Это еще раз подчеркивает, что мы, вероятно, продолжим видеть множество TTP, связанных с этой деятельностью, поскольку все большее число субъектов включают эти CVE в свои атаки.
Другой образец Lemon Duck в наших данных телеметрии был обнаружен в течение того же периода времени, а также попытался создать дополнительную специфичную для Exchange структуру каталогов в зараженных системах. Этот новый каталог располагался по следующему пути файловой системы:
Хотя мы не наблюдали файлов .ASPX, скопированных в этот каталог в системе, где была обнаружена эта активность, это явно демонстрирует особый интерес к работе на серверах Microsoft Exchange и их нацеливанию со стороны злоумышленника.
Разведка и обнаружение Exchange Server
Мы также наблюдали действия после взлома, соответствующие предыдущим отчетам о дополнительной разведке и обнаружении, проведенных после успешной эксплуатации уязвимостей Microsoft Exchange, описанных ранее в этом посте.
Встроенные утилиты командной строки «net» и «net1» использовались для создания новых учетных записей пользователей с правами локального администратора в системах и изменения членства в локальной группе. Мы наблюдали, как команда «net user» использовалась для создания нового пользователя с псевдонимом «netcat» и назначенным паролем, за которым последовали несколько попыток вызвать «net localgroup», чтобы добавить этого вновь созданного пользователя в следующие локальные группы безопасности: администраторы , Администраторы, пользователи удаленного рабочего стола и администраторы предприятия.
Мы также наблюдали команды net1 со следующим синтаксисом:
Создание нового пользователя и добавление его в локальные группы может быть попыткой скрыть и / или минимизировать признаки подозрительной деятельности. Одна из этих групп, администраторы, могут предположить, что языковые предпочтения использовались для более широкого нацеливания на дополнительные системы с целью запроса и добавления групп в этих системах.
Команды WMI также использовались для изменения реестра и включения протокола удаленного рабочего стола (RDP) с использованием следующего синтаксиса:
Это изменение реестра согласуется с действиями после эксплуатации, о которых ранее сообщала Microsoft в своем отчете, касающемся успешных кампаний по эксплуатации серверов Exchange, использующих те же уязвимости Exchange. На этом этапе следует типичная цепочка заражения Lemon Deck, аналогичная описанной ранее в разделе «Типичные действия после взлома».
Недавняя активность Lemon Duck предполагает, что операторы продолжают обновлять части своих атак, чтобы оставаться жизнеспособными, поскольку они включают новые TTP и начинают нацеливаться на новые серьезные уязвимости безопасности. Вот некоторые примеры подозрительной деятельности, которые мы наблюдали во время недавних кампаний Lemon Duck:
Создание различных специфичных для Exchange структур каталогов в веб-каталоге IIS на скомпрометированных системах.
Копирование файлов .ASPX, связанных с этими веб-оболочками, в недавно созданную структуру каталогов для Exchange.
Действия после взлома, включая создание новых пользователей и изменение членства в локальной группе с помощью команд «net» и «net1».
Модификация реестра Windows для включения RDP доступа к системе.
Поскольку количество отдельных групп угроз, использующих эти эксплойты в своих атаках, продолжает расти, мы, вероятно, увидим различные методы, связанные с этой деятельностью. Мы рекомендуем проверить вышеупомянутую активность как возможное свидетельство взлома.
Командование и контроль (C2)
DNS-маяки Cobalt Strike
Lemon Duck также использовала полезные нагрузки Cobalt Strike во время недавних кампаний, что представляет собой эволюцию набора инструментов, используемых этим злоумышленником, и демонстрирует, что они продолжают совершенствовать свой подход к жизненному циклу атаки с течением времени, поскольку они выявляют возможности для повышения своей эффективности, а также эффективность их атак. При анализе активности заражения Lemon Duck мы заметили, что PowerShell используется для загрузки и выполнения полезной нагрузки Cobalt Strike, полученной со следующего URL-адреса:
hxxp [:] // ps2 [.] jusanrihua [.] com / dns
Эта полезная нагрузка была настроена как маяк Windows DNS и пытается связаться с сервером C2 (1f0834b2 [.] Ps2 [.] Jusanrihua [.] Com), используя скрытый канал на основе DNS. Затем маяк связывается с этим конкретным поддоменом для передачи закодированных данных через запросы запросов на запись A DNS. Пример этого действия можно увидеть на скриншоте ниже.
Wireshark показывает запросы DNS к 1f0834b2 [.] Ps2 [.] Jusanrihua [.] Com.
Это представляет собой новый TTP для Lemon Duck и является еще одним примером их зависимости от наступательных инструментов безопасности (OST), включая отражающий загрузчик Powersploit и модифицированный Mimikatz, которые уже включены в качестве дополнительных модулей и компонентов Lemon Duck и используются во всех типичных случаях. жизненный цикл атаки.
Генерация доменов-приманок
Еще один ранее не сообщаемый TTP, который мы наблюдали, - это использование Lemon Duck новой техники для обфускации их домена (ов) C2. Согласно нашим данным телеметрии, этот метод, по-видимому, использовался Lemon Duck как минимум с февраля 2020 года. Во время процесса заражения Lemon Duck PowerShell используется для вызова метода GetHostAddresses из класса среды выполнения .NET Net.Dns для получения текущего IP-адреса для домена, контролируемого злоумышленником. Например, в ходе нашего анализа мы наблюдали, что для этой цели используются следующие домены.
t [.] awcna [.] com
t [.] tr2q [.] com
t [.] amxny [.] com
Этот IP-адрес объединен с поддельным именем хоста, жестко закодированным в команде PowerShell и записанным как запись в файл хостов Windows, расположенный по адресу
c: \ windows \ system32 \ drivers \ etc \ hosts.
Этот механизм позволяет продолжить разрешение имен, даже если позже будут развернуты средства управления безопасностью на основе DNS, поскольку преобразование теперь записывается локально, и будущие запросы разрешения больше не зависят от вышестоящей инфраструктуры, такой как DNS-серверы. Это может позволить злоумышленнику достичь более долгосрочной устойчивости после работы в среде жертвы. Информация о домене, записанная в файл hosts, варьировалась в зависимости от анализируемой нами инфекции Lemon Duck.
Эти значения хранятся в виде строковых литералов в промежуточном вызове PowerShell. Поскольку сам код PowerShell не генерирует эти строковые значения, они, вероятно, генерируются в исходном Lemon Duck PE, поскольку сам скрипт PowerShell создается, или могут быть статически включены в файлы, используемые для выполнения промежуточного этапа, размещенные на серверах C2. Состав доменов-приманок не является производным от словарных слов или комбинаций. Регистр символов значительно варьируется, как и использование цифр, перемежающихся латинскими символами ASCII. Также есть небольшие различия в длине, хотя сгенерированные домены в проанализированных нами выборках не имеют длины более десяти буквенно-цифровых символов, не включая домен верхнего уровня (TLD). Все используемые TLD - это TLD с кодами стран Восточной Азии, включая .cn, .kr и .jp. Хотя эта деятельность началась почти год назад, именно этот метод, вероятно, поддерживал постоянную настойчивость Lemon Duck на протяжении всей ее длительной кампании.
Другие ботнеты для майнинга криптовалюты, нацеленные на уязвимости Exchange
Talos начал наблюдать за доменами, связанными с Lemon Duck и другим майнером криптовалюты, DLTMiner, в качестве инфраструктуры, используемой для постэксплуатационных действий, нацеленных на нулевые дни Microsoft Exchange в начале марта 2021 года. Другие охранные фирмы также подробно описали действия DLTMiner. Мы также выявили недавно опубликованную активность, связанную с некоторыми из упомянутых выше компонентов (c.ps1, dns.ps1, m6.exe), которая наблюдалась в скомпрометированных системах, где также были развернуты программы-вымогатели. В настоящее время, похоже, нет связи между наблюдаемыми там компонентами Lemon Duck и заявленной программой-вымогателем (TeslaRVNG2). Это говорит о том, что, учитывая характер целевых уязвимостей, мы, вероятно, продолжим параллельно наблюдать ряд злонамеренных действий, используя аналогичные методы эксплуатации и векторы заражения для компрометации систем. В некоторых случаях злоумышленники могут воспользоваться артефактами, оставшимися от предыдущих взломов, что затрудняет различение.
Вывод
Новые TTP согласуются с теми, которые, как сообщается, связаны с широко распространенной эксплуатацией широко распространенных уязвимостей программного обеспечения Microsoft Exchange, и дополнительные свидетельства на уровне хоста предполагают, что этот злоумышленник теперь также проявляет особый интерес к нацеливанию на серверы Exchange, поскольку они пытаются скомпрометировать дополнительные системы и поддерживать и / или увеличить количество систем в ботнете Lemon Duck. Организации должны сохранять бдительность в отношении этой угрозы, поскольку она, вероятно, будет продолжать развиваться.
https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html
P.S.: спасибо RP55 за ссылку на статью