Кампания със социално инженерство използва фалшива IT поддръжка за внедряване на Havoc C2 в корпоративни мрежи

Кампания със социално инженерство използва фалшива IT поддръжка за внедряване на Havoc C2 в корпоративни мрежи

Изследователи по киберсигурност идентифицираха координирана кампания за проникване, при която атакуващи се представят за служители на IT поддръжка, за да получат отдалечен достъп и да внедрят рамката за командване и контрол Havoc в корпоративни среди.

Атаките комбинират спам кампании, социално инженерство и многоетапно внедряване на зловреден софтуер, за да компрометират крайни устройства и потенциално да подготвят средата за ексфилтрация на данни или ransomware атаки.

Активността е наблюдавана от изследователи по сигурността в няколко организации, където атакуващите преминават от първоначален достъп към странично придвижване между множество устройства в рамките на часове.

Как започва атаката

Кампанията обикновено започва с масова спам операция, чиято цел е да залее пощенските кутии на жертвите с голям брой нежелани съобщения.

Малко след това жертвата получава телефонно обаждане от човек, който се представя като част от IT поддръжката на организацията. Атакуващият предлага съдействие за отстраняване на предполагаемия проблем с имейлите и убеждава потребителя да стартира сесия за отдалечена поддръжка.

Жертвите биват убедени да предоставят достъп чрез инструменти като:

• Microsoft Quick Assist

• AnyDesk

• други инструменти за отдалечена поддръжка

След като бъде получен отдалечен достъп, атакуващите започват следващия етап от проникването.

Фалшив ъпдейт като вектор на атаката

По време на сесията атакуващият насочва потребителя към уеб страница, която имитира услуги на Microsoft. Страницата твърди, че е необходимо да се обновят антиспам правилата на Outlook.

Фалшивият интерфейс изисква от жертвата да въведе своя имейл адрес и да стартира „актуализация на конфигурацията на правилата“.

Този процес задейства скрипт, който показва поле за въвеждане на парола, което позволява на атакуващите да съберат идентификационни данни, като същевременно запазят впечатлението за легитимна IT процедура.

Доставка на зловреден код чрез DLL sideloading

След събирането на идентификационни данни атаката продължава с изтегляне на файл, който изглежда като легитимен ъпдейт.

Файлът стартира легитимен Windows бинарен файл като:

• ADNotificationManager.exe

• DLPUserAgent.exe

• WerFault.exe

Тези файлове се използват за зареждане на зловредна DLL библиотека, съдържаща Havoc payload.

След изпълнение зловредният код стартира агента Havoc „Demon“, който установява връзка с инфраструктура, контролирана от атакуващите.

За да избегне откриване, payload-ът използва различни техники, включително:

• обфускация на контролния поток

• забавено изпълнение

• техники за hook на API като Hell’s Gate и Halo’s Gate

• опити за заобикаляне на EDR системи

Бързо странично придвижване

След компрометиране на първоначалната машина атакуващите започват да се придвижват странично в мрежата.

В наблюдаваните инциденти те успяват да достигнат до множество крайни устройства за кратко време и да внедрят допълнителни компоненти.

Постоянният достъп се осигурява чрез:

• scheduled задачи, които стартират Havoc агента при рестарт

• инсталиране на легитимни инструменти за отдалечено управление

Инструменти като Level RMM и XEOX са използвани в някои среди като резервен механизъм за поддържане на достъп.

Какво показва тази кампания

Кампанията демонстрира как съвременните атаки комбинират множество техники:

• социално инженерство за първоначален достъп

• използване на легитимни инструменти за устойчивост

• адаптиран зловреден софтуер за избягване на детекция

Друг важен аспект е скоростта, с която атакуващите преминават от първоначална компрометация към контрол върху по-голяма част от мрежата.

В някои случаи наблюдаваната активност показва подготовка за ексфилтрация на данни или внедряване на ransomware.

DIAMATIX перспектива

Представянето за вътрешна IT поддръжка остава един от най-ефективните начини за първоначален достъп.

Когато това се комбинира с инструменти за отдалечена поддръжка и многоетапно внедряване на зловреден код, атакуващите могат да заобиколят традиционните периметрови защити и да действат директно от доверени крайни устройства.

Организациите следва да обмислят няколко защитни мерки:

• ограничаване на използването на инструменти за отдалечена поддръжка

• обучение на служителите да проверяват неочаквани заявки от IT поддръжка

• наблюдение на подозрително използване на системни бинарни файлове

• мониторинг на необичайни изходящи връзки

• откриване на неочаквано внедряване на RMM инструменти в мрежата

Екипите по сигурност трябва да следят и за признаци на странично придвижване след сесии за отдалечен достъп.

Това, което изглежда като обикновена техническа помощ, може да бъде първата стъпка от многоетапна компрометация.

Свържете се с DIAMATIX

Trusted · Innovative · Vigilant