Rodiny malwaru Kegtap, Singlemalt a Winekey se používají k získání počátečního přístupu k síti při potenciálně smrtelných útocích ransomwaru na zdravotnické organizace uprostřed globálního pandemie, uvedli vědci v nově zveřejněných nálezech.
Společnost Mandiant zveřejnila zprávu, která popisuje taktiku útoků Kegtap/BEERBOT, Singlemalt/STILLBOT a Winekey/CORKBOT, o nichž se vědci domnívají, že se zaměřily na nemocnice, komunitu důchodců a lékařská centra „… prokazující zjevné ignorování lidského života,“ uvádí zpráva.
Výzkumní pracovníci vypozorovali, že ransomware se kromě zdravotní péče používá i v různých odvětvích a organizacích, a našli několik společných rysů.
Phishingové e-maily určené k napodobování každodenních obchodních funkcí, jako jsou smlouvy, papírování personálu nebo stížnosti, se odesílají s odkazem nikoli na malware, ale na dokument Google, PDF nebo jiný dokument, který takový přímý odkaz na malware obsahuje.
„Skrytí za více odkazů je jednoduchý, ale účinný způsob, jak obejít některé technologie filtrování e-mailů,“ uvádí se ve zprávě. „Různé technologie mají schopnost sledovat odkazy v e-mailu a snažit se identifikovat malware nebo škodlivé domény; počet použitých odkazů se však může lišit. Vložení odkazů do dokumentu PDF dále ztěžuje automatickou detekci a sledování odkazů. “
Kegtap, Singlemalt a Winekey (také známé jako Bazar varianty) fungují jako zavaděče prvního stupně, které před použitím malwaru pro další fázi útoku fungují na zařízení.
V tomto případě je zločinci používají ke stažení běžných frameworků pro penetrační testování, jako jsou Cobalt Strike, Beacon nebo Powertrick, aby si zajistili přítomnost. Po počátečním narušení pomáhá Cobalt Strike udržovat přítomnost malwaru po restartu, uvádí se ve zprávě a Beacon je nejčastěji pozorovanými zadními vrátky těchto útoků.
Cobalt Strike, PowerShell Empire, Powersploit a Medasploit jsou skupinou nástrojů dvojího užití, které se používají jak pro legitimní, tak pro podvodné úkoly. Tyto nástroje pro testování jsou určeny k tomu, aby pomohly bezpečnostním profesionálům identifikovat slabiny v jejich síťové obraně, ale ve špatných rukou mohou útoky podporovat.
Beacon byl také použit k nasazení rutiny „PowerLurk’s Register-MaliciousWmiEvent cmdlet k registraci událostí WMI používaných k ukončení procesů souvisejících s bezpečnostními nástroji, včetně Správce úloh, WireShark, TCPView, ProcDump, Process Monitor, NetStat, PSLoggedOn, LogonSessions, Process Hacker, Autoruns, AutorunsSC, RegEdit a RegShot, “ uvádí se ve zprávě.
Malware poté nastaví zvyšující se oprávnění, nejčastěji s platnými pověřeními, která jsou získána prostřednictvím „exportovaných kopií ntds.dit Active Directory databáze a systému a podregistrů bezpečnostního registru z řadiče domény.“
Beacon, spolu s veřejně dostupnými nástroji, jako je Bloodhound, Sharphound nebo ADfind, je poté nasazen k průzkumu, dodali vědci, což umožňuje aktérům laterálně se pohybovat a rozšířit svoji stopu napříč ohroženou sítí.
Hlavním cílem mise je podle zprávy dodat ransomware Ryuk.
„Existují důkazy, které naznačují, že ransomware Ryuk byl pravděpodobně nasazen prostřednictvím PsExec, ale pro forenzní analýzu nebyly k dispozici jiné skripty nebo artefakty související s distribučním procesem,“ pokračuje zpráva.
Toto partnerství mezi vývojáři stojícími za Kegtapem, Singlemaltem a Winekeyem se skupinou stojící za Ryukem činí tuto skupinu obzvláště pozoruhodnou. Ryuk je podle Mandianta provozován východoevropským aktérem UNC1878 a nadále je hrozbou pro zdravotnické organizace a představují pro USA bezprecedentní nebezpečí.
Zdroj: threatpost.com
