Скрытая вредоносная кампания проникает через поддомены туннеля Cloudflare, чтобы выполнить вредоносный код в памяти и предоставить неизвестным злоумышленникам долгосрочный доступ к компьютерам с pwn.
Специалисты по поиску угроз Securonix заметили текущую кампанию, получившую название Serpentine#Cloud, и сообщили нам, что она «средне- и крупномасштабная» и «все еще очень активна сегодня», по словам старшего научного сотрудника security shop Тима Пека.
Хотя общее число случаев заражения остается неизвестным, «кампания, по-видимому, была довольно масштабной, поскольку в ней не было четко обозначенного сектора, отрасли или страны», — сказал Пек в интервью The Register.
«Выявленная телеметрия указывает на большое общее количество случаев заражения, наблюдаемых во многих западных странах, таких как Соединенные Штаты, Великобритания или Германия», — добавил он. «Мы также выявили довольно много примеров, происхождение которых указывает на Сингапур и Индию».
Securonix не приписывает эту кампанию отдельному лицу или преступной группе, но обратите внимание, что использование англоязычных комментариев в коде и ориентация на западные цели указывают на то, что англоговорящие люди являются «несколько усложненные» и «тестирующие масштабируемые методы доставки».
«Использование доступной инфраструктуры и поэтапной доставки подразумевает, что исполнитель отдает приоритет скрытности и оперативной гибкости, что позволяет ему быстро адаптироваться», — сказал Пек.
Использование доступной инфраструктуры и поэтапной доставки полезных данных подразумевает, что злоумышленник уделяет приоритетное внимание скрытности и оперативности.
Атака начинается с фишингового электронного письма на тему счета-фактуры, содержащего Windows файл быстрого доступа (.lnk), замаскированный под PDF-документ. Как только жертва нажимает на вредоносную ссылку, она «запускает довольно сложную цепочку атак, состоящую из комбинации этапов пакетной обработки, VBScript и Python, чтобы в конечном итоге развернуть шеллкод, который загружает полезную нагрузку PE, упакованную в виде пончиков», — написал Печ в отчете за среду.
Для размещения и для доставки этих полезных данных преступники используют сервисы туннелирования TryCloudflare от Cloudflare, легальный инструмент, обычно используемый разработчиками для доступа сервера к Интернету без открытия каких-либо портов.
Это помогает злоумышленникам повысить скрытность распространения вредоносного ПО несколькими способами: во-первых, поскольку TryCloudflare используется для законных целей тестирования и разработки, большинство организаций не блокируют его и не отслеживают трафик. Сертификаты Cloudflare TLS также позволяют вредоносному трафику лучше сочетаться с обычной сетевой активностью и обходить средства блокировки доменов.
Кроме того, использование туннелей Cloudflare означает, что злоумышленникам не нужно регистрировать домены или арендовать VPS-серверы, что затрудняет установление авторства и удаление данных исследователями безопасности.
Cloudflare не сразу ответила на запрос The Register о комментариях. Мы обновим эту информацию, если получим ответ.
Как только жертва нажимает на вредоносный файл быстрого доступа, запускается многоэтапное заражение, при котором используются собственные средства Windows и легальный WebDAV-транспорт по протоколу HTTPS для дальнейшего уклонения от обнаружения антивирусом и выполнения полезной нагрузки с различных удаленных доменов Cloudflare. Все эти домены перечислены в конце отчета Secureonix, поэтому мы настоятельно рекомендуем ознакомиться с ними.
На втором этапе атаки загружается и выполняется файл сценария Windows, который работает как загрузчик на основе VBScript. Цель этого файла «состоит в том, чтобы выполнить простую команду, которая загрузит и выполнит полезную нагрузку следующего этапа (этап 3), kiki.bat, из еще одного удаленного домена CloudFlare», — написал Пек.
Третий этап, сильно запутанный пакетный файл, опять же «разработанный для скрытности и сохранения», развертывает поддельный PDF-файл, проверяет наличие антивирусного программного обеспечения, загружает и выполняет шелл-коды Python и устанавливает сохранение через папку запуска Windows. Наконец, эти шелл-коды на Python запускают полезную нагрузку в виде пончиков, включая AsyncRAT или Revenge RAT в памяти, поэтому они никогда не затрагивают диск и в конечном итоге дают злоумышленникам «полное командование и контроль над хостом», согласно исследованию.»При скрытом проникновении на зараженный хост злоумышленник имеет возможность украсть пароли, данные браузера/сеанса, отфильтровать конфиденциальные данные или попытаться проникнуть в другие системы», — написал Пек. ®
