CACTUS-вымогатель

Aug 31, 2023

ср, 10 мая 2023 г.

Лори Яконо

Стивен Грин

Дэйв Трумэн

Аналитики Kroll Cyber ​​Threat Intelligence выявили новый штамм программы-вымогателя под названием CACTUS, нацеленный на крупные коммерческие организации с марта 2023 года. Название «CACTUS» происходит от имени файла, указанного в примечании о выкупе, cAcTuS.readme.txt, и файла собственного имени. объявленное имя в самой записке о выкупе. К зашифрованным файлам добавляется расширение .cts1, хотя Кролл отмечает, что число в конце расширения различается в зависимости от инцидента и жертвы. Кролл наблюдал утечку конфиденциальных данных и вымогательство жертв через одноранговую службу обмена сообщениями, известную как Tox, но известное место утечки жертвы на момент анализа не было обнаружено.

По опыту Кролла, CACTUS применил перекрывающийся набор тактик, техник и процедур (TTP). К ним относится использование таких инструментов, как Chisel, Rclone, TotalExec, Scheduled Tasks и пользовательских сценариев для отключения защитного программного обеспечения для распространения двоичного файла программы-вымогателя. Кролл наблюдал, как злоумышленники получали первоначальный доступ посредством использования устройств VPN. Интересно, что CACTUS использовал файл с именем ntuser.dat в C:\ProgramData для передачи ключа AES для расшифровки открытого ключа RSA для расшифровки двоичного файла, который используется для постоянного выполнения через запланированные задачи.

Судя по имеющимся на момент написания этого бюллетеня сведениям, наиболее вероятным начальным эксплойтом этапа 1 жизненного цикла вторжений Kroll является использование уязвимых устройств VPN. Эта тактика была оценена и отмечена как общая черта в нескольких инцидентах CACTUS, которые расследовал Кролл. Во всех наблюдаемых случаях доступ злоумышленника был получен с VPN-сервера с учетной записью службы VPN. После этого для управления и контроля злоумышленника (C2) устанавливается бэкдор SSH для обеспечения постоянного доступа через запланированные задачи.

Рисунок 1 – install.bat

MITRE ATT&CK — T1190: Использование общедоступного приложенияMITRE ATT&CK — T1021.004: SSHMITRE ATT&CK — T1053.005: Запланированная задача

Попав в сеть, злоумышленник проводит начальную внутреннюю проверку с помощью сетевого сканера SoftPerfect (netscan). Команды PowerShell выполняются для перечисления конечных точек, просмотра событий Windows Security 4624 для идентификации учетных записей пользователей и проверки связи с удаленными конечными точками. Вывод этих команд сохраняется в текстовые файлы на хост-компьютере. Выходные файлы позже используются для выполнения двоичного файла программы-вымогателя.

Рисунок 2 – Перечисление PowerShell

Кролл также обнаружил модифицированную версию сценария с открытым исходным кодом, который действует как эквивалент NMAP для PowerShell, под названием PSnmap.ps1. Это также выполняется для идентификации других конечных точек в сети.

MITRE ATT&CK — T1049: обнаружение сетевых подключений системыMITRE ATT&CK — T1087.002: учетная запись доменаMITRE ATT&CK — T1018: обнаружение удаленной системыMITRE ATT&CK — T1087: обнаружение учетной записи

Чтобы сохранить постоянство в среде, злоумышленник пытается создать ряд методов удаленного доступа. Кролл выявил использование законных инструментов удаленного доступа, таких как Splashtop, AnyDesk и SuperOps RMM, а также Cobalt Strike и использование Chisel, прокси-инструмента SOCKS5. Chisel помогает туннелировать трафик через межсетевые экраны для обеспечения скрытой связи с C2 злоумышленника и, вероятно, используется для перетаскивания дополнительных сценариев и инструментов на конечную точку.

Как только злоумышленник установил правильный уровень доступа (см.: Эскалация), он затем выполняет пакетный сценарий, который использует msiexec для удаления обычного антивирусного программного обеспечения через GUID программного обеспечения, и как минимум в одном (1) инциденте Bitdefender деинсталлятор, как показано на рисунке 3.

Рисунок 3 – Часть пакетного скрипта для отключения антивируса

MITRE ATT&CK — T1219: Программное обеспечение удаленного доступаMITRE ATT&CK — T1090: ProxyMITRE ATT&CK — T1562.001: Отключить или изменить инструменты