Тень пентестера: эксперты F.A.C.C.T. исследовали неизвестные атаки вымогателей Shadow

В начале сентября 2023 года система киберразведки F.A.C.C.T. Threat Intelligence обнаружила на сервере, который использовался неизвестными для атак на российские компании, открытую директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и других доступных утилит для тестирования на проникновение.

Поскольку подобные инструменты не требуют глубоких знаний в области операционных систем, программирования или сетевых технологий, их нередко используют в атаках не очень опытные и не слишком квалифицированные злоумышленники. Тем более что использование стандартных и широко известных инструментов увеличивает вероятность обнаружения и идентификации атаки со стороны средств обнаружения и предотвращения вторжений.

В ходе дальнейшего анализа атак, техник, инструментов, сетевой и файловой инфраструктуры, изначально рассматриваемых как часть независимого кластера вредоносной активности, была установлена связь атакующих с крупной организованной преступной группой, известной как Shadow (Twelve/Comet/DARKSTAR).

Shadow — группа вымогателей, входящая в преступный синдикат Shadow—Twelve. Изначально считалось, что группа Shadow начала свою активность в феврале-марте 2023 года. В августе 2023 года криминалисты F.A.C.C.T. обнаружили общие инструменты, техники, а в некоторых случаях и общую сетевую инфраструктуру и установили, что Shadow и Twelve являются частью одной группы, атакующей Россию. В сентябре 2023 года Shadow стали называть себя Comet, а недавно, в феврале 2024-го, группа снова переименовалась, но уже в DARKSTAR.

Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. назвали Shadow группой двойного назначения, поскольку злоумышленники могут проводить как финансово, так и политически мотивированные атаки. В первом случае Shadow похищают конфиденциальные данные из инфраструктуры жертв, а затем шифруют, требуя выкуп. В политически мотивированных кампаниях от имени Twelve публикуют похищенные данные и уничтожают инфраструктуру жертвы. Не исключено, что группа выбирает, как поступить с жертвой, уже после получения доступа и закрепления.

В атаках группа использует зашифрованную версию программы-вымогателя LockBit 3.0, созданную с помощью билдера для атак на Windows, а также модифицированную версию программы-вымогателя Babuk для атак на Linux. Максимальный размер выкупа, требуемый злоумышленниками в 2023 году, составил $3,5 млн.

В ходе исследования данных с обнаруженного сервера аналитики Threat Intelligence пришли к выводу, что группировка Shadow начала атаки гораздо раньше весны 2023 года. Группа получила доступы к инфраструктуре и базам данных как минимум десятка российских компаний. Злоумышленники выбирали цели, исходя из места их расположения — в России, а не по сфере деятельности или капитализации. Перед выпуском данного исследования эксперты уведомили жертв об угрозе.

Ключевые выводы

• В рамках данного исследования была проанализирована активность группировки Shadow за период с сентября 2022 года по август 2023 года.
• Было выявлено, что за этот период группировка атаковала более 100 целей, из которых как минимум 10 стали жертвами.
• Все атакованные компании находились в России и артефакты, оставленные злоумышленниками, дают понять, что атаки носят антироссийский характер.
• Специалисты отдела Threat Intelligence компании F.A.C.C.T. идентифицировали и уведомили жертв.
• В своих атаках злоумышленники используют ограниченный набор общедоступных инструментов с открытым исходным кодом, предназначенных для тестирования на проникновение.

Начало исследования

В сентябре 2023 года система Threat Intelligence обнаружила открытую директорию с логами и конфигурационными файлами различных инструментов для пентеста — тестирования на проникновение. В файле .bash_history, содержащем историю команд, были обнаружены команды, свидетельствующие о факте применения этого программного обеспечения против широкого списка целей, что стало причиной продолжения исследования (рис. 1).

Рис. 1. Содержимое обнаруженной директории

Было замечено, что публичный SSH-ключ находился на сервере злоумышленника с 25 декабря 2020 года и SSL-сертификат OpenVPN — с 25 января 2021 года. Замеченные ключ и сертификат наблюдались на сервере вплоть до предположительной блокировки в конце октября 2023-го. Данные факты указывают на то, что владелец сервера 62[.]171[.]152[.]48 не менялся в этот период времени.

Справка. Каждая пара ключей SSH является уникальной и используется для аутентификации личности пользователя или процесса, который хочет получить доступ к удаленной системе с помощью протокола SSH. Открытый (публичный) SSH-ключ нужен для проверки личности сервера клиентом, а его нахождение на сервере обычно ассоциируется с конкретным человеком или организацией, обладающими доступом к серверу (рис. 2).

Рис. 2. Скриншот графового анализа сетевой инфраструктуры обнаруженного сервера

Таймлайн

Несмотря на то что владелец сервера не менялся как минимум с момента появления публичного SSH-ключа в декабре 2020 года, непосредственно вредоносная активность группы Shadow замечена на сервере в период с сентября 2022 года по август 2023 года. Используемый инструментарий и список жертв расширялись постепенно: пик развития приходится на лето (май — август) 2023 года (рис. 3).

Рис. 3. Тепловая карта активности злоумышленника

Согласно логам Metasploit установка и первый запуск датируются сентябрем 2022 года. Далее на сервере появился CrackMapExec, и уже в январе возникли первые жертвы (рис. 4). Злоумышленник использовал SQLMap — утилиту для автоматизированного поиска и эксплуатации уязвимостей веб-приложений, использующих SQL.

Рис. 4. Хронология активности злоумышленника

Всего за период вредоносной кампании в пользовании злоумышленника были замечены следующие инструменты:

• SQLMap,
• Metasploit,
• ProxyShell-Scanner,
• DockerRegistryGrabber,
• Cobalt Strike,
• Athena,
• Sliver.

К моменту обнаружения сервера в сентябре 2023 года группировка уже удалила часть следов своих атак. Поэтому аналитики составили описание методов использования только части инструментов.

Описание инструментов

Metasploit

На сервере были обнаружены следы использования Metasploit. Это платформа для тестирования на проникновение, с которой специалист может находить, эксплуатировать и подтверждать уязвимости (рис. 5).

Рис. 5. Содержимое директории .msf4

Анализ файлов показал, что Shadow использовала Metasploit для эксплуатации уязвимостей таких популярных сервисов, как Confluence, Cisco ASA, GitLab, Exchange, IIS, OpenSSL и Zimbra. Для этого были использованы следующие эксплоиты (рис. 6):

• Atlassian Confluence Namespace OGNL Injection;
• BIND TSIG Badtime Query Denial of Service;
• Cisco ASA Directory Traversal;
• GitLab GraphQL API User Enumeration;
• Local Exploit Suggester;
• Microsoft Exchange ProxyLogon Collector;
• Microsoft Exchange ProxyLogon RCE;
• Microsoft Exchange ProxyLogon Scanner;
• Microsoft Exchange ProxyNotShell RCE;
• Microsoft Exchange ProxyShell RCE;
• Microsoft IIS WebDav ScStoragePathFromUrl Overflow;
• Netlogon Weak Cryptographic Authentication;
• Novell GroupWise Client gwcls1.dll ActiveX Remote Code Execution;
• OpenSSL Heartbeat (Heartbleed) Information Leak;
• Zimbra Collaboration Autodiscover Servlet XXE and ProxyServlet SSRF;
• Zip Path Traversal in Zimbra (mboximport) (CVE-2022-27925).

Согласно истории команд, для злоумышленника характерен следующий паттерн использования Metasploit:

Рис. 6. Пример поиска и выбора сплоита в Metasploit

Анализ директории loot — собранных с целевых хостов данных, которые Metasploit хранит в базе данных, показывает, что злоумышленник использовал Metasploit в период с 15 мая по 22 августа (рис. 7).

Рис. 7. Содержимое директории loot

Похищенные данные включают:

• Ф. И. О., электронные адреса, должности сотрудников;
• внутренние документы компаний.

Также в директории Metasploit был обнаружен файл meterpreter_history, наличие и содержимое которого указывает на факт использования Meterpreter — модуля Metasploit, позволяющего создавать полезную нагрузку, предоставляющую интерактивную оболочку, с помощью которой злоумышленник может исследовать целевую машину и удаленно выполнять код.

Среди прочего в истории команд Meterpreter были обнаружены строки. Первая показывает факт загрузки инструмента с открытым исходным кодом SUDO_KILLER, который может быть использован для повышения привилегий в среде Linux путем злоупотребления sudo:

Этот инструмент помогает выявить неправильную конфигурацию в правилах sudo, уязвимости в используемой версии sudo — все это может быть использовано для повышения привилегий до root.

Вместе с этим в истории была замечена команда, указывающая на попытку загрузить и запустить файл ssh1200 (SHA1 96e06691a3c430aac9c43a2bb2b347dda88e4ade) — дроппер руткита Facefish. Подобная практика уже была замечена исследователями за группой Shadow.

SQLMap

На сервере были обнаружены следы использования SQLMap. Это инструмент с открытым исходным кодом, который автоматизирует процесс тестирования уязвимостей, обнаружения и использования ошибок SQL-инъекций и захвата серверов баз данных (рис. 8).

Рис. 8. Содержимое директории SQLMap

Злоумышленник в основном передавал в SQLMap в качестве параметра HTTP запрос через текстовый файл и тестируемый параметр базы данных следующим образом:

Директории с именами четырех компаний-жертв находились в папке SQLMap. Исследование показало, что злоумышленник получил доступ к данным как минимум одной компании (рис. 9).

Рис. 9. Содержимое директории с логами SQLMap

ProxyShell-Scanner

Злоумышленник также использовал сканер для поиска уязвимости Proxyshell RCE (CVE-2021-34423, CVE-2021-34473, CVE-2021-31207), которая затрагивает сервер Microsoft Exchange. ProxyShell-Scanner — это инструмент с открытым исходным кодом, доступный на GitHub. Замечено как минимум одно использование Proxyshell-Scanner, при котором злоумышленник работал по списку из более чем 7000 хостов, происхождение которых неизвестно (рис. 10).

Рис. 10. Содержимое директории ProxyShell-Scanner

Возможный сценарий использования этого сканера включает в себя исполнение Python-скрипта shodan-query.py, осуществляющего поиск веб-панелей Outlook через Shodan API по хешу фавикона — значка вкладки в браузере. Адреса обнаруженных панелей сохраняются в отдельный файл, предоставляя злоумышленнику актуальный и пригодный для сканирования на уязвимости список.

Скрипт shodan-query.py, осуществляющий поисковой запрос к Shodan:

Но следов использования этого скрипта обнаружено не было. Злоумышленник имел готовый список целевых IP-адресов, который поместил в файл url в формате ссылок (с приставкой https://*). После этого список адресов был просканирован с помощью утилиты nuclei по темплейту ProxyShell-Scanner. Вывод был записан в файл ex_result (рис. 11).

Рис. 11. Содержимое файла ex_result

Из 7000 просканированных злоумышленником хостов уязвимыми для атаки оказались 160. Они были вытащены в файл exchange следующей командой:

С очищенными адресами группировка работала через Metasploit.

DockerRegistryGrabber

DockerRegistryGrabber — это инструмент с открытым исходном кодом, предназначенный для извлечения информации из хранилищ для Docker-образов, содержащих все необходимое для запуска приложения, включая код, библиотеки, среду и конфигурации (рис. 12).

Рис. 12. Содержимое директории DockerRegistryGrabber

На сервере было обнаружено несколько каталогов с данными, полученными в результате работы приложения DockerRegistryGrabber 31 июля 2023 года, согласно метаданным.

Прочие инструменты

Помимо вышеописанного программного обеспечения также были обнаружены и другие утилиты, следов использования которых не было обнаружено, но это не означает, что они не могли быть уничтожены.

Во-первых, в корневой директории на сервере злоумышленника хранился образец Cobalt Strike — фреймворка для тестирования на проникновение, который часто используется злоумышленниками в качестве средства для проведения атак. Файл winevtx.exe (SHA1 7c113a202124ba3ca4fb39c8437789bdc69fdd8f) — beacon stager (рис. 13), который выполняет только некоторые базовые проверки и только затем запрашивает C2 для загрузки полнофункционального бэкдора (рис. 14).

Рис. 13. Результат проверки F.A.C.C.T. Managed XDR

Рис. 14. Конфигурация семпла

На основании сетевого взаимодействия вредоносного файла аналитики обнаружили C2-домен vindowsupdt[.]ru, DNS-запись которого зарегистрирована 17 мая 2023 года (рис. 15). К сожалению, финальная полезная нагрузка была уже недоступна к моменту исследования. Стоит отметить, что домен vindowsupdt[.]ru находился под Cloudflare.

Рис. 15. Скриншот графового анализа сетевой инфраструктуры C2-домена

Вместе с этим на сервере группы Shadow был обнаружен образец агента Mythic Athena с именем winevt.exe (SHA1 77ceaff8710d84069df4f2f20e37b3ed4005bc19) (рис. 16). Mythic — еще один фреймворк для тестирования на проникновение, который аналогично Cobalt Strike может использоваться злоумышленниками для проведения атак. Athena — это специализированный модуль или плагин для Mythic, который предназначен для работы в среде Windows и обеспечивает расширенные возможности выполнения команд на удаленных машинах.

Рис. 16. Результат проверки F.A.C.C.T. Managed XDR

Он может выполнять разнообразные функции, включая сбор информации о системе, выполнение команд и скриптов, манипуляции с файлами и процессами, а также может использоваться для перехвата данных и наблюдения за активностью пользователя. Этот агент позволяет оператору C2 проводить взаимодействие с целевыми системами. Файл winevt.exe обращается к C2 91[.]207[.]183[.]54, который, предположительно, мог применяться злоумышленником в период с 7 июля по 8 сентября 2023 года. Система Threat Intelligence также обнаружила на нем следы использования Cobalt Strike (рис. 17, 18).

Рис. 17. Cobalt Strike на порте 443

Рис. 18. Сертификат Mythic

Рис. 19. Скриншот графового анализа сетевой инфраструктуры C2-сервера

Аналогичным образом в корневой директории исследуемого сервера hxxp://62[.]171[.]152[.]48:8000/ был найден семпл Sliver — фреймворка для тестирования на проникновения. Файл с именем resolved (SHA1 01e414085c2c21c9f971c4889e8ddbe85e4f3a65) хранился на основном сервере. Sliver взаимодействует с доменом huibudesh[.]lol, который с 6 июня 2023 года имеет A-запись 135.181.46.97.

Рис. 20. TXT-запись домена huibudesh[.]lol

Рис. 21. Скриншот графового анализа сетевой инфраструктуры C2-сервера

Также на исследуемом сервере hxxp://62[.]171[.]152[.]48:8000/ были обнаружены файлы CrackMapExec (CME) — инструмента для тестирования на проникновение, разработанного для автоматизации оценки безопасности сетей Active Directory (AD). Он интегрирован с различными модулями и функциями, предназначенными для выполнения широкого спектра задач: от сканирования сетей до автоматизации эксплуатации уязвимостей и постэксплуатационных действий. Злоумышленники используют CME преимущественно с целью сбора учетных данных, повышения привилегий и перемещения по сети.

Кроме инструментов, непосредственно заточенных под атаку, были обнаружены и те, основное назначение которых не несет вреда:

• Ngrok — это инструмент, который позволяет создавать безопасные туннели к локальным серверам за NAT и брандмауэрами, обеспечивая временный публичный доступ к приложениям, запущенным на локальном устройстве.
• socat — инструмент для работы с данными, перенаправляемыми через сетевые сокеты. Предоставляет широкий спектр возможностей для создания различных типов соединений (TCP, UDP и др.).
• PsExec64 — предназначен для удаленного выполнения процессов на других системах в сети.
• XenArmor — программное обеспечение, представляющее собой набор инструментов для восстановления паролей к различным приложениям.
• redis-cli — утилита для взаимодействия с Redis. redis-cli предоставляет интерфейс командной строки для отправки команд Redis-серверу, что позволяет управлять данными и конфигурацией целевого устройства.

Использование подобных легальных инструментов в кибератаках может быть обусловлено сниженной вероятностью обнаружения их действий средствами защиты. Так как эти приложения часто используются в законных целях, они редко попадают в черные списки, а их присутствие на устройствах или в сети само по себе не является индикатором компрометации.

Инструменты, обнаруженные на сервере, могут позволить злоумышленнику достигнуть внушительного списка целей вплоть до эксфильтрации данных. Однако стоит отметить, что если рассматривать только инструменты, следы использования которых были обнаружены, то можно сделать вывод, что активность с данного сервера была направлена преимущественно на решение задач сбора информации о целях и получении начального доступа. Подобный подход характерен для нецелевых атак, в которых предпочтителен количественный подход к выбору целей.

Инфраструктура злоумышленника

Таким образом, аналитики предполагают, что злоумышленник использовал как минимум четыре сервера и три домена. Исходя из назначения, их можно разделить на группы, перечисленные в таблице ниже.

Рис. 21. Скриншот графового анализа сетевой инфраструктуры злоумышленников

Анализ жертв

По итогам анализа действий Shadow был выявлен четкий паттерн в выборе целей. В центре внимания атакующих оказались преимущественно малозащищенные компании из широкого спектра отраслей и сфер деятельности. Однако несмотря на эту отраслевую диверсификацию, все атакуемые организации объединяет одна общая черта: они расположены в одном и том же географическом регионе — в России.

Выводы

Из обнаруженного участия более серьезной и организованной группировки Shadow в атаках, изначально рассматриваемых как независимый кластер активности, можно сделать следующий важный вывод: хотя использование публично доступных и относительно простых в освоении инструментов часто ассоциируется с действиями злоумышленников начального уровня, такие инструменты могут также применяться более продвинутыми группировками для скрытия на фоне многочисленных «шумовых» атак, проводимых менее квалифицированными злоумышленниками, минимизации ресурсов и времени на разработку и подготовку атаки, первоначального тестирования защитных механизмов цели, позволяя оценить готовность системы к более сложным и изощренным атакам. Эти факторы подчеркивают необходимость учитывать не только продвинутые, но и базовые методы атак, а также вредоносные сценарии использования легитимных утилит.

MITRE ATT&CK^® Matrix

Индикаторы компрометации

Файлы

Cobalt Strike

Athena Windows agent (используется с Mythic C2)

Ngrok

socat

Sliver

PsExec64

IP-адреса

• 62.171.152[.]48
• 64.226.104[.]111
• 91.207.183[.]54
• 135.181.46[.]97

URL

• hxxp://62.171.152[.]48:8000/
• hxxp://64.226.104[.]111/ssh1200

Приложения

Конфигурационный файл CrackMapExec