Лажен технички спам активира прилагоден Havoc C2 низ организации

Истражувачите за закани предупредуваат на нова кампања во која напаѓачи се претставуваат како лажна ИТ поддршка со цел да го испорачаат Havoc command-and-control (C2) framework како подготовка за ексфилтрација на податоци или ransomware напад.

Интрузиите, идентификувани од Huntress минатиот месец кај пет партнерски организации, вклучувале користење спам е-пораки како мамка, по што следувал телефонски повик од наводен ИТ сервис-деск кој активира слоевит процес за испорака на малициозен софтвер.

„Во една организација, напаѓачот премина од иницијален пристап до уште девет дополнителни endpoint уреди во рок од единаесет часа, распоредувајќи комбинација од прилагодени Havoc Demon payload-и и легитимни RMM алатки за одржување пристап, при што брзината на латералното движење силно сугерира дека крајната цел била ексфилтрација на податоци, ransomware или и двете“, изјавија истражувачите Мајкл Тигес, Ана Фам и Брајан Мастерс.

Вреди да се напомене дека начинот на работа е конзистентен со email bombing и Microsoft Teams фишинг напади организирани од актери поврзани со Black Basta ransomware операцијата во минатото. Иако оваа сајбер-криминална група наводно се повлече по јавното протекување на нејзините интерни разговори минатата година, континуираната употреба на истиот „playbook“ укажува на две можни сценарија.

Едната можност е дека поранешни членови на Black Basta преминале во други ransomware операции и ги користат за нови напади, или пак ривалски актери ја усвоиле истата стратегија за да спроведуваат социјален инженеринг и да добијат иницијален пристап.

Синџирот на нападот започнува со спам кампања со цел да се преполнат сандачињата на жртвата со несакани пораки. Во следниот чекор, напаѓачите, претставувајќи се како ИТ поддршка, ги контактираат примателите и ги убедуваат да одобрат далечински пристап до нивните уреди преку Quick Assist сесија или со инсталирање алатки како AnyDesk за наводно решавање на проблемот.

Откако ќе се воспостави пристап, напаѓачот веднаш отвора веб-прелистувач и посетува лажна почетна страница хостирана на Amazon Web Services (AWS), која се претставува како Microsoft и ја инструира жртвата да ја внесе својата е-пошта за да пристапи до системот за ажурирање на Outlook anti-spam правилата и да ги ажурира правилата за спам.

Кликнувањето на копчето „Update rules configuration“ на лажната страница активира извршување на скрипта што прикажува прозорец со преклоп (overlay) во кој од корисникот се бара да ја внесе својата лозинка.

„Овој механизам служи за две цели: му овозможува на заканувачкиот актер да ги прибере корисничките креденцијали, кои во комбинација со потребната е-пошта обезбедуваат пристап до контролниот панел; истовремено, додава слој на автентичност во интеракцијата, убедувајќи го корисникот дека процесот е легитимен“, соопшти Huntress.

Нападот исто така се потпира на преземање на наводната anti-spam закрпа, што доведува до извршување на легитимна бинарна датотека со име „ADNotificationManager.exe“ (или „DLPUserAgent.exe“ и „Werfault.exe“) со цел да се изврши side-loading на злонамерна DLL. DLL payload-от имплементира техники за избегнување на одбрана (defense evasion) и го извршува Havoc shellcode payload-от преку креирање thread што го содржи Demon агентот.

Најмалку една од идентификуваните DLL-датотеки („vcruntime140_1.dll“) вклучува дополнителни трикови за избегнување детекција од безбедносен софтвер, користејќи обфускација на контролниот тек (control flow obfuscation), временски базирани одложувања (timing-based delay loops) и техники како Hell’s Gate и Halo’s Gate за закачување (hook) на функциите на ntdll.dll и заобиколување на endpoint detection and response (EDR) решенија.

„По успешното распоредување на Havoc Demon на почетниот компромитиран уред, напаѓачите започнаа латерално движење низ околината на жртвата“, изјавија истражувачите. „Иако почетниот социјален инженеринг и испораката на малициозен софтвер покажаа интересни техники, активностите рачно управувани од напаѓачот (hands-on-keyboard) што следеа беа релативно едноставни.“

Ова вклучува креирање закажани задачи (scheduled tasks) за стартување на Havoc Demon payload-от секојпат кога заразените endpoint уреди ќе се рестартираат, со што им се овозможува на напаѓачите постојан далечински пристап. Сепак, утврдено е дека во некои компромитирани системи напаѓачот наместо Havoc распоредувал легитимни алатки за далечински мониторинг и управување (RMM) како Level RMM и XEOX, со што ги диверзифицирал механизмите за одржување пристап.

Неколку важни заклучоци од овие напади се дека напаѓачите без двоумење се претставуваат како ИТ персонал и се јавуваат на приватни телефонски броеви ако тоа ја зголемува стапката на успех; техниките за избегнување на одбрана, кои порано беа карактеристични за напади врз големи компании или државно спонзорирани кампањи, стануваат сè почести; и т.н. „commodity“ малициозен софтвер се прилагодува за да ги заобиколи сигнатурите базирани на шаблони.

Исто така, забележителна е брзината со која нападите напредуваат агресивно од почетна компромитација кон латерално движење, како и бројните методи што се користат за одржување постојан пристап.

„Она што започнува како телефонски повик од ‘ИТ поддршка’ завршува со целосно инструментализирана компромитација на мрежата – модифицирани Havoc Demon агенти распоредени на повеќе endpoint уреди и легитимни RMM алатки пренаменети како резервен механизам за одржување пристап“, заклучи Huntress. „Оваа кампања е студија на случај за тоа како модерните напаѓачи додаваат слоеви на софистицираност во секоја фаза: социјален инженеринг за иницијален пристап, DLL side-loading за невидливост и диверзифицирана перзистентност за да преживеат обиди за санација.“

Извори:

• The Hacker News – Fake Tech Support Spam Deploys Customized Havoc C2 Across Organizations The Hacker News