Киберпреступники украли данные оборонной организации США с помощью невиданного ранее ПО

Об инциденте стало известно из сообщения от правительства США, в котором сообщается о том, что хакеры использовали кастомного вредоноса CovalentStealer и набор классов Python под названием Impacket для кражи конфиденциальных данных у американской компании, работающей в секторе оборонной-промышленного комплекса.

В совместном отчете CISA, ФБР и АНБ были приведены технические подробности кибератаки, собранные в ходе ликвидации ее последствий.

Арсенал злоумышленников выглядел следующим образом:

• Кастомный вредонос CovalentStealer;

• Impacket – набор классов Python с открытым исходным кодом;

• RAT HyperBro;

• Более десятка образцов веб-оболочки ChinaChopper;

• Четыре уязвимости в Exchange Server.

Список использованных уязвимостей:

• CVE-2021-26855 – позволяет подделать запрос на стороне сервера (SSRF), это приводит к созданию HTTP-запросов, которые отправляет не аутентифицированный злоумышленник.

• CVE-2021-26857 – уязвимость в службе системы обмена сообщениями Exchange. Позволяет использовать произвольный код в системе жертвы.

• CVE-2021-26858 – доступна после прохождения аутентификации. Злоумышленники могут использовать эту уязвимость для записи произвольных файлов на сервере.

• CVE-2021-27065 – работает в связке с CVE-2021-26855 и позволяет получить доступ к EAC/EPC (Exchange admin center) интерфейсу,

Хотя первоначальный вектор доступа неизвестен, в отчете говорится, что хакеры получили доступ к серверу Exchange организации в середине января 2021 года. На протяжении четырех часов злоумышленники искали почтовые ящики и использовали скомпрометированную учетную запись администратора, принадлежащую бывшему сотруднику, для доступа к API Exchange Web Services (EWS).

Менее чем через месяц, в начале февраля 2021 года, злоумышленники снова получили доступ к сети через VPN, используя те же учетную запись.

Через четыре дня хакеры провели разведку с помощью командной оболочки. Они узнали об окружении жертвы и вручную заархивировали (WinRAR) конфиденциальные данные хранящиеся на общих дисках, подготовив их к эксфильтрации. Файлы были разбиты на фрагменты размером около 3 МБ и расположены на сервере Microsoft Exchange в каталоге CU2hedebug.

В начале марта хакеры воспользовались вышеперечисленными, чтобы установить не менее 17 веб-оболочек China Chopper на сервер Exchange.

Завершив подготовку, в апреле 2021 года злоумышленники начали закрепляться в системе и медленно продвигаться вглубь. Кроме того, киберпреступники воспользовались Impacket со скомпрометированными учетными данными и получили удаленный доступ с нескольких внешних IP-адресов к Exchange-серверу организации через Outlook Web Access (OWA).

Оказавшись глубоко в сети жертвы, хакеры выкачали все собранные данные с помощью CovalentStealer. Этот этап атаки проходил с конца июля до середины октября 2022 года.

Специалисты CISA уже опубликовали технический анализ CovalentStealer . Им удалось выяснить, что вредонос использует код двух общедоступных утилит: ClientUploader и PowerShell-скрипт Export-MFT, необходимые для загрузки сжатых файлов и извлечения главной файловой таблицы (MFT) из локального тома.

r.С разбором других вредоносов можно ознакомиться по ссылкам: HyperBro , China Chopper .