42 часа до катастрофы: как UNC4393 парализует корпоративный сектор

В середине 2022 года специалисты Mandiant обнаружили несколько вторжений, связанных с QAKBOT, что привело к развёртыванию BEACON и других C2 -маяков. Это стало первым случаем идентификации группы UNC4393, основного пользователя вымогательского ПО BASTA.

За время наблюдений Mandiant зафиксировала более 40 вторжений UNC4393 в 20 различных отраслях. Хотя ранее медицинские организации не были основным объектом атак группы, несколько инцидентов в этом году указывают на возможное расширение их интересов.

UNC4393 представляет собой финансово мотивированный кластер угроз, который активно использует вымогательское ПО BASTA с середины 2022 года. Группа обычно получает первоначальный доступ через ботнет QAKBOT, который распространяется через фишинговые электронные письма с вредоносными ссылками или вложениями.

Операторы BASTA предпочитают закрытую модель аффилиатов, предоставляя доступ только проверенным третьим лицам, что отличает их от традиционных моделей «вымогательское ПО как услуга» ( RaaS ).

Благодаря высокой оперативной скорости, UNC4393 может проводить разведку, эксфильтрацию данных и выполнять свои цели в среднем за 42 часа. Несмотря на это, Mandiant выделяет два основных кластера, связанных с BASTA: UNC4393 и UNC3973. UNC4393 охватывает большинство активностей, связанных с BASTA, тогда как UNC3973 демонстрирует уникальные тактики и методы, требующие отдельного отслеживания.

Всего в арсенале UNC4393 числится множество вредоносных программ, среди которых, например:

• BASTA: вымогательское ПО, которое шифрует локальные файлы и использует случайные ключи для каждого файла.
• SYSTEMBC: туннелер, который скрывает сетевой трафик, связанный с другими вредоносными программами.
• KNOTWRAP: дроппер, который выполняет дополнительные нагрузки в памяти.
• KNOTROCK: утилита на базе .NET, создающая символические ссылки и запускающая BASTA.
• DAWNCRY: дроппер, который расшифровывает и выполняет встроенные ресурсы.
• PORTYARD: туннелер, устанавливающий соединение с C2-сервером.
• COGSCAN: сборщик данных о системе и сети.

Ранее UNC4393 практически всегда использовала ботнет QAKBOT для первоначального доступа. Однако после его ликвидации в 2023 году группа перешла на другие методы, включая фишинг и малвертайзинг. SILENTNIGHT, основное вредоносное ПО для этих атак, позволяет выполнять различные функции, такие как контроль системы и захват скриншотов.

После получения доступа UNC4393 использует комбинацию легитимных инструментов и собственного вредоносного ПО. Часто применяется DNS BEACON для поддержания доступа и выполнения операций. Начиная с 2024 года, группа использует многоэтапную цепочку инфекций, включающую DAWNCRY и PORTYARD.

Для разведки UNC4393 применяет такие инструменты, как BLOODHOUND, ADFIND и PSNMAP. Также используется собственный инструмент COGSCAN для сбора информации о сети и системах. Для перемещения в сети и поддержания доступа UNC4393 использует SMB BEACON и протокол удалённого рабочего стола (RDP). Часто применяются возможности удалённого выполнения через WMI, что позволяет быстро распространять вымогательское ПО.

Цель UNC4393 — быстро собрать и эксфильтровать данные, чтобы использовать их для многоуровневого шантажа. В основном для кражи данных используется программа RCLONE. Ранее группа вручную развёртывала шифровальщик, но с конца 2023 года начала использовать утилиту KNOTROCK, что значительно ускорило процесс.

UNC4393 продолжает развиваться и представляет значительную угрозу. Переход от использования готовых инструментов к разработке собственного вредоносного ПО и сотрудничество с другими группировками позволяет ей оптимизировать свои операции.

Эффективная защита от таких угроз требует проактивных и комплексных мер безопасности, включая регулярное обновление программного обеспечения, обучение сотрудников методам кибербезопасности и использование передовых технологий для обнаружения и предотвращения атак.