Junior хакер користел Tailscale и OpenSSH за да го задржи пристапот откако неговиот C2 сервер бил исклучен

Напаѓач кој зборува француски успеал да компромитира мала француска автомобилска компанија, инсталирал keylogger и украл банкарски и е-поштенски акредитиви.

Вообичаена приказна, сè до еден потег при крајот на нападот.

Пред неговиот сервер за команда и контрола (C2) да стане недостапен, тој инсталирал OpenSSH и Tailscale на компјутер на жртвата, создавајќи алтернативен пат за пристап кој воопшто не зависел од C2 инфраструктурата. Кога Havoc серверот престанал да работи следниот ден, неговиот пристап останал активен. Осумнаесет дена подоцна, C2 серверот повторно бил ставен во функција, агентите автоматски се поврзале повторно, а напаѓачот продолжил со активностите.

Компанијата Cato Networks ја документирала целата операција команда по команда – вкупно 339 команди во период од 33 дена – откако операторот ги оставил своите SSH клучеви и детален прирачник за напад во јавно достапен storage bucket. Извештајот, објавен во вторник од истражувачот на Cato CTRL, Виталиј Симонович, претставува редок увид во напад од перспектива на самиот оператор, а не само преку форензички траги.

Поуката на истражувачите е едноставна: исклучувањето на C2 сервер не претставува целосна санација ако напаѓачот веќе изградил друг начин за пристап.

Актерот, познат под прекарот „Poisson“, не е напредна државно поддржана закана (APT). Истражувачите го опишуваат како млад оператор кој веројатно работи според училишен распоред – активен по 15 часот по средноевропско време, со долга пауза околу пладне. Целата инфраструктура била базирана на бесплатни или евтини услуги: DuckDNS, Backblaze B2 и евтин VPS сервер од IONOS во Берлин.

Неговите оперативни техники биле далеку од совршени. Пет пати го изложил својот домашен директориум, ги именувал storage bucket-ите според својот прекар и дури оставил тест-датотека со сопствените притиснати тастери повторени повеќепати во пакетот на keylogger-от. Не успеал во околу половина од обидите, но сепак компромитирал четири машини.

Синџирот на нападот

Малверот функционирал речиси целосно во меморија. VBScript „stager“ со механизам за избегнување на sandbox средини дешифрирал PowerShell loader, кој преземал .NET loader што го стартувал Demon агентот на Havoc без да запишува датотеки на дискот.

За ескалација на привилегии користел командата:

Start-Process -Verb RunAs

Ова не е тивок UAC bypass. Командата го прикажува Windows прозорецот за потврда и чека корисникот да кликне „Yes“. Кај една жртва биле потребни десетина обиди во текот на два дена.

Потоа следувале механизми за одржување на пристапот:

• Закажана задача што се извршувала при секое најавување со највисоки привилегии.
• Вбризгување на shellcode во Explorer.exe.
• Прилагодена верзија на RustDesk како резервен комуникациски канал.

Крадецот на акредитиви бил едноставен Python keylogger од околу 70 линии код кој ги зачувувал притиснатите тастери во локална датотека. Немал механизам за автоматско испраќање на податоците. Poisson едноставно се најавувал рачно, ја преземал датотеката и користел powercfg за да спречи компјутерите да преминуваат во режим на мирување.

Потегот што е најважен

На 7 април, во текот на петчасовна ноќна сесија, тој инсталирал OpenSSH Server и Tailscale, ја приклучил машината на жртвата во својата приватна Tailscale мрежа и конфигурирал SSH пристап базиран на клучеви, како и reverse SSH тунел.

На овој начин можел да пристапува до системот преку шифрираната mesh-мрежа на Tailscale без потреба од C2 сервер и без отворање на порти кон интернет.

Следниот ден Havoc инфраструктурата престанала да работи. Cato не објаснува зошто, но тоа е речиси неважно – Tailscale пристапот функционирал независно, па контролата над системот останала.

Кога C2 инфраструктурата се вратила на 26 април, агентите автоматски повторно се поврзале без потреба од нова компромитација.

Во последните пет дена од операцијата извршил уште 145 команди, ги истражувал складиштата за паметни картички и дигитални сертификати (што укажува на интерес за сертификатска автентикација), стартувал две непознати извршни датотеки од архивата „Thales.zip“ околу 32 минути и потоа избришал 17 датотеки пред да исчезне на 1 мај.

Што барал?

Неговите цели биле ограничени:

• Нема траги од Mimikatz.
• Нема латерално движење низ мрежата.
• Нема ransomware.
• Нема докази дека ги украл документите што ги прегледувал, како даночни или осигурителни записи.

Го интересирало само она што луѓето го внесуваат преку тастатура:

• Банкарски лозинки.
• Лозинки за е-пошта.
• Пристапи до владини портали.

За сопственик на мал бизнис, тоа претставува директен финансиски ризик.

Зошто ова е важно?

Ниту една од користените алатки не е нова.

APT31 од Кина користел Tailscale во текот на 2024 и 2025 година за тивко извлекување податоци од руски ИТ компании.

Групата Scattered Spider често користи легитимни алатки за далечински пристап како Ngrok и Fleetdeck.

RustDesk, кој Poisson го користел како резервен канал, е забележан и во понови напади на Akira ransomware.

Проблемот е што овие алатки се легитимни и дигитално потпишани. Системите за заштита што бараат само злонамерни датотеки често ги пропуштаат.

На што треба да се внимава?

Cato препорачува:

• Алармирање при инсталација на OpenSSH Server на Windows работни станици.
• Следење на појавата на tailscale.exe на системи каде нема оправдана потреба за VPN.
• Детекција на SSH reverse тунели (ssh -R) кон надворешни хостови.
• Следење на wscript.exe што извршува .vbs датотеки од кориснички директориуми.
• Откривање на закажани задачи што стартуваат скриптни интерпретатори со највисоки привилегии.
• Следење на промени во powercfg поставките што спречуваат компјутерите да преминат во режим на мирување.
• Блокирање на DuckDNS.

Најважната препорака е:

Кога ќе откриете C2 инфраструктура, претпоставете дека тоа не е единствениот механизам за пристап и активно барајте дополнителни механизми за перзистенција што работат во позадина.

Cato не открива што точно содржел Thales.zip и што правеле двете програми во текот на тие 32 минути.

Но поважниот заклучок е дека C2 серверот никогаш не бил самиот напад – тој бил само еден од начините за пристап. Ако го исклучите C2 серверот, а OpenSSH, Tailscale, закажаните задачи и keylogger-от продолжат да работат, напаѓачот и понатаму има начин да се врати.

Токму тој дел најчесто се пропушта при санацијата на инциденти.

Извори:

• The Hacker News – Junior Hacker Used Tailscale and OpenSSH to Keep Access After His C2 Went Offline The Hacker News