Η Mandiant έχει εντοπίσει έναν νέο affiliate του ALPHV (BlackCat ransomware), που προσδιορίζεται ως UNC4466, ο οποίος στοχεύει σε εγκαταστάσεις Veritas Backup Exec που είναι εκτεθειμένες στο κοινό και είναι ευαίσθητες στα CVE-2021-27876, CVE-2021-27877 και CVE-2021-27878 για μια αρχική εισβολή στα δίκτυα των θυμάτων. Μια εμπορική υπηρεσία διαδικτυακής σάρωσης έχει αναγνωρίσει περισσότερες από 8,500 installations Veritas Backup Exec εκτεθειμένα στο διαδίκτυο – μερικά είναι unpatched και ευάλωτα. Σύμφωνα με τις έρευνες της Mandiant σχετικά με προηγούμενες εισβολές της ALPHV, τα κλεμμένα credentials αποτελούν βασικό παράγοντα αυτής της στροφής προς την ευκαιριακή στόχευση γνωστών σημείων ευπάθειας. Αυτή η δημοσίευση θα σας καθοδηγήσει σε ολόκληρο τον κύκλο επίθεσης της UNC4466, καθώς και θα σας παρέχει δείκτες για ευκαιρίες εντοπισμού.

Τον Νοέμβριο του 2021, το ALPHV εμφανίστηκε στο προσκήνιο ως ransomware-as-a-service που ορισμένοι ερευνητές λένε ότι είναι ο διάδοχος των BLACKMATTER και DARKSIDE. Ενώ άλλοι φορείς εκμετάλλευσης ransomware εφάρμοζαν κανόνες ώστε να μην πλήττουν κρίσιμες υποδομές ή οντότητες υγείας, το ALPHV εξακολουθούσε να στοχεύει αδυσώπητα αυτούς τους ευαίσθητους τομείς.

Φάσεις επιθέσεις

Αρχική παραβίαση και δημιουργία foothold

Στα τέλη του 2022, η UNC4466 απέκτησε πρόσβαση σε έναν διακομιστή Windows εκτεθειμένο στο διαδίκτυο, ο οποίος εκτελούσε το Veritas Backup Exec έκδοση 21.0 χρησιμοποιώντας τη λειτουργική μονάδα Metasploit «exploit/multi/veritas/beagent_sha_auth_rce». Λίγο αργότερα, χρησιμοποιήθηκε το Metasploit persistence module για να διατηρηθεί μόνιμη πρόσβαση στο σύστημα για το υπόλοιπο αυτής της εισβολής.

Εσωτερική Αναγνώριση

Αφού απέκτησε πρόσβαση στον Veritas Backup Exec server, η UNC4466 χρησιμοποίησε τον Internet Explorer – που είναι εγκατεστημένος από προεπιλογή σε απαρχαιωμένα συστήματα Windows – για να κατεβάσει το Advanced IP Scanner της Famatech από τον ιστότοπό της, hxxps://download.advanced-ip-scanner[.]com. Αυτό το πρόγραμμα είναι σε θέση να σαρώσει διεξοδικά μεμονωμένες διευθύνσεις IP ή περιοχές διευθύνσεων για τυχόν ανοικτές θύρες και παρέχει λεπτομέρειες όπως hostnames, πληροφορίες για το λειτουργικό σύστημα και τον κατασκευαστή hardware.

Στην επίθεσή της, η UNC4466 χρησιμοποίησε το ADRecon για να συλλέξει δεδομένα δικτύου, πληροφορίες πρόσβασης σε λογαριασμούς και λεπτομέρειες κεντρικών υπολογιστών από το σύστημα του θύματος. Αυτό το εργαλείο ενεργοποιείται από έναν προνομιούχο χρήστη τομέα, ο οποίος στη συνέχεια παράγει αναφορές σχετικά με το Active Directory, όπως Trusts, Sites Subnets και πολιτικές κωδικών πρόσβασης, μαζί με άλλες βασικές λεπτομέρειες όπως λογαριασμούς χρηστών ή λίστες υπολογιστών. Αυτές μπορούν να εξαχθούν σε διάφορες μορφές όπως CSV, XML , JSON και HTML για περαιτέρω αξιολόγηση και ανάλυση.

Η κακόβουλη ομάδα UNC4466 βασίστηκε σε μεγάλο βαθμό στην Υπηρεσία Ευφυούς Μεταφοράς Υποβάθρου (Background Intelligent Transfer Service – BITS) για να κατεβάσει μια ποικιλία εργαλείων που περιλάμβαναν τα LAZAGNE, LIGOLO, WINSW, RCLONE και, τέλος, τον κρυπτογράφο ransomware ALPHV.

Command and Control

Για να επικοινωνήσει με το δίκτυο του θύματος, το UNC4466 χρησιμοποίησε το SOCKS5 tunneling, μια τεχνική που χρησιμοποιείται συνήθως για να παρακάμψει τα συστήματα ασφαλείας

και άλλους αμυντικούς ελέγχους δικτύου. Αυτό το έκαναν μέσω δύο διαφορετικών εργαλείων: LIGOLO και REVSOCKS.

Κλιμάκωση προνομίων

Ο κακόβουλος δράστης χρησιμοποίησε διάφορα εργαλεία πρόσβασης σε credentials, όπως τα Mimikatz, LaZagne και Nanodump, προκειμένου να αποκτήσει κωδικούς πρόσβασης απλού κειμένου και άλλες εμπιστευτικές πληροφορίες.

Τον Νοέμβριο του 2022, ο απειλητικός παράγοντας UNC4466 χρησιμοποίησε το injection module του παρόχου υποστήριξης ασφαλείας MIMIKATZ («MISC::MemSSP»). Αυτό το module συλλέγει τα credentials σε καθαρό κείμενο καθώς χρησιμοποιούνται, χειρίζοντας το Local Security Authority Server Service (LSASS) σε συστήματα θυμάτων. Αυτό το module δημιουργεί ένα αρχείο με το όνομα `C:\Windows\System32\mimilsa.log`.

Το [Nanodump] χρησιμοποιήθηκε και για το dump της μνήμης LSASS. Όπως τα παραδείγματα που εμφανίζονται στη σελίδα GitHub του Helpsystems, το output file που καθορίστηκε ήταν ένα αρχείο στον κατάλογο `C:\Windows\Temp.

Αποφυγή εντοπισμού

Η UNC4466 χρησιμοποιεί μια ποικιλία τακτικών για να αποφύγει τον εντοπισμό. Όχι μόνο διαγράφει τα αρχεία καταγραφής συμβάντων, αλλά χρησιμοποιεί και το cmdlet Set-MpPreference για να απενεργοποιήσει τη λειτουργία προστασίας σε πραγματικό χρόνο του Microsoft Defender.

Command and Control

Αξιοποιώντας τις μεταφορές BITS (Start-BitsTransfer PowerShell cmdlet) για να μεταφέρει πόρους απευθείας στον κατάλογο staging `c:\ProgramData`, το UNC4466 μπόρεσε να αποκτήσει πρόσβαση και να κατεβάσει δύο βασικά εργαλεία tunneling SOCKS5, REVSOCKS & LIGOLO, από τα αντίστοιχα αποθετήρια GitHub.

Ολοκληρωμένη αποστολή

Στα τέλη του 2022, η UNC4466 εφάρμοσε μια προεπιλεγμένη πολιτική domain με άμεσες εργασίες για την απενεργοποίηση των εφαρμογών ασφαλείας και την εγκατάσταση του ransomware ALPHV που βασίζεται στο Rust. Μόλις κατέβηκε, ο κρυπτογράφος τέθηκε αυτόματα σε λειτουργία.

Αποκάλυψη

Κατά την ημερομηνία αυτής της δημοσίευσης στο ιστολόγιο, μια υπηρεσία σάρωσης στο Διαδίκτυο βρήκε πάνω από 8500 διευθύνσεις IP που μεταδίδουν μια υπηρεσία “Symantec/Veritas Backup Exec ndmp” σε τρεις διαφορετικές θύρες – 10000, 9000 και 10001. Αξίζει να σημειωθεί ότι ενώ τα αποτελέσματα αυτά δεν προσδιορίζουν με ακρίβεια τα ευάλωτα συστήματα, καθώς οι εκδόσεις των εφαρμογών τους είναι άγνωστες, αποδεικνύουν πόσο συνηθισμένες είναι τα δημόσια εκτεθειμένα instances που μπορούν να εκμεταλλευτούν οι πιθανοί χάκερ.

Πηγή πληροφοριών: mandiant.com