Microsoft впервые публикует исследование о подразделении российской хакерской группы Seashell Blizzard и её долгосрочной операции по начальному проникновению, известной как кампания BadPilot. Это подразделение осуществляло компрометацию различных интернет-ориентированных инфраструктур, обеспечивая Seashell Blizzard возможность сохранять доступ к высокоценным целям и поддерживать специализированные операции в сетях.
В этом материале рассматриваются недавно зафиксированные тактики, техники и процедуры (TTPs) этой группы, а также три характерных способа эксплуатации уязвимостей. Географический охват этой кампании существенно расширяет деятельность Seashell Blizzard за пределами Восточной Европы. Кроме того, методы случайного доступа, описанные в исследовании, продолжают предоставлять России возможности для узконаправленных операций и иных киберактивностей.
После первоначального взлома злоумышленники получали доступ к целому ряду глобальных целей, включая:
Seashell Blizzard использует широкомасштабные возможности и публично доступные эксплойты, которые позволяют группе находить и взламывать интернет-доступные системы в различных географических регионах и отраслях. С начала 2024 года группа расширила сферу своих атак, включив в список жертв организации из США и Великобритании. Для этого были использованы уязвимости в следующем программном обеспечении:
С апреля 2022 года российские киберпреступные группировки все чаще нацеливаются на международные организации, имеющие геополитическое значение или оказывающие поддержку Украине. Помимо создания точек доступа за пределами Украины, подразделение Seashell Blizzard, вероятно, было причастно как минимум к трём разрушительным кибератакам на Украину с 2023 года.
Широкий охват операций Seashell Blizzard создаёт значительные риски для организаций, находящихся в её сфере интересов. Несмотря на использование распространённых методов эксплуатации уязвимостей, изменения в тактике посткомпрометационного поведения могут потребовать более детального аудита инцидентов.
Microsoft Threat Intelligence активно отслеживает кампании Seashell Blizzard и её подразделений, а также при возможности уведомляет затронутых клиентов, предоставляя им информацию для повышения уровня безопасности. Исследование публикуется в целях повышения осведомлённости об угрозах, а также для того, чтобы помочь организациям защитить свою инфраструктуру от подобных атак.
Seashell Blizzard – это кибергруппировка, связанная с российской военной разведкой (ГРУ, подразделение 74455), осуществляющая кибератаки в интересах России. Группа ведёт деятельность с 2013 года и специализируется на кибершпионаже, деструктивных атаках, информационных операциях и манипулировании промышленными системами (ICS/SCADA).
Ключевые атаки, приписываемые Seashell Blizzard:
С апреля 2023 года Seashell Blizzard увеличила число атак на военные объекты и связанные с ними организации, вероятно, с целью получения тактической разведывательной информации.
Если среди жертв оказывается объект стратегического интереса, фиксируется активная посткомпрометационная деятельность. Географический фокус подразделения изменяется: оно может проводить широкомасштабные атаки сразу по нескольким регионам, а затем переключаться на конкретные страны или области, что демонстрирует его способность адаптироваться к различным региональным задачам.
После успешной эксплуатации уязвимости подразделение использует типичный операционный цикл, включающий закрепление в системе и боковое перемещение, причем со временем эти методы становятся все более незаметными. Microsoft Threat Intelligence зафиксировала три характерных схемы эксплуатации и поведения, связанных с этим подразделением.
В большинстве случаев после успешной эксплуатации уязвимости Seashell Blizzard предпринимает шаги для долгосрочного сохранения доступа к скомпрометированной системе. В трех задокументированных случаях такой доступ предшествовал разрушительным атакам, что указывает на возможную связь между деятельностью подразделения и последующими деструктивными или дезорганизующими операциями.
Использование RMM-пакетов позволяло скрывать присутствие атакующих, так как эти программы выглядят как легитимные утилиты и реже вызывают подозрения по сравнению с троянскими программами удаленного доступа (RAT). Хотя подобные методы использовались другими государственными группировками с 2022 года (например, иранской Mango Sandstorm), конкретные техники Seashell Blizzard обладают уникальными характеристиками.
Обе уязвимости CVE-2024-1709 и CVE-2023-48788 позволяли атакующим выполнять произвольные команды на скомпрометированном сервере. Далее использовались два метода установки RMM-агентов:
После установки RMM-программ Seashell Blizzard использовала их встроенные функции для развертывания дополнительных инструментов, таких как утилиты для кражи учетных данных, эксфильтрации данных и развертывания кастомных программ для долговременного закрепления.
Атакующие использовали три основных метода:
Среди ряда жертв Seashell Blizzard провела уникальные пост-компрометационные действия, что указывает на стремление злоумышленников обеспечить более стабильное закрепление и прямой доступ. В таких случаях использовалась технология OpenSSH с уникальным публичным ключом, что позволяло атакующим подключаться к скомпрометированным системам, используя контролируемую учетную запись и учетные данные. Также использовался метод постоянного доступа и надежного командного управления (C2), известный как ShadowLink.
ShadowLink обеспечивает постоянный удаленный доступ, настраивая скомпрометированную систему как скрытый сервис в сети Tor. Это достигается с помощью комбинации бинарных файлов Tor и уникального конфигурационного файла torrc, который настраивает систему для удаленного доступа. Системы, скомпрометированные с помощью ShadowLink, получают уникальный адрес .onion, что делает их доступными через сеть Tor. Этот метод позволяет Seashell Blizzard избегать стандартных подходов с использованием RAT (троянов для удаленного доступа), которые обычно используют C2-инфраструктуру, контролируемую атакующими, что часто легко выявляется администраторами сетей. Используя скрытые сервисы Tor, скомпрометированная система создает постоянную цепочку для подключения к сети Tor, действуя как скрытый туннель, эффективно скрывая все входящие соединения и минимизируя раскрытие как со стороны атакующего, так и со стороны жертвы.
ShadowLink состоит из двух основных компонентов: легитимного бинарного файла службы Tor и конфигурационного файла torrc, который содержит настройки для скрытых сервисов Tor, включая порт-форвардинг для таких сервисов, как RDP (3389) и SSH. Seashell Blizzard обычно использует ShadowLink для перенаправления входящих соединений на адрес скрытого сервиса Tor к портам для RDP. Метод закрепления осуществляется через системную службу.
Microsoft Threat Intelligence выявила как минимум две веб-оболочки, которые постоянно развертывает эта подгруппа начального доступа. Несмотря на то, что веб-оболочки могут быть развернуты разными методами, чаще всего они появляются после эксплуатации уязвимостей, позволяющих удаленное выполнение кода (RCE) или загрузку произвольных файлов. В случае подгруппы начального доступа, мы наблюдали развертывание веб-оболочек после эксплуатации уязвимостей в Microsoft Exchange (CVE-2021-34473) и Zimbra (CVE-2022-41352). В случаях, когда доступно удаленное выполнение кода, подгруппа начального доступа регулярно извлекает веб-оболочки с инфраструктуры, контролируемой злоумышленниками. Эта инфраструктура может быть как легитимными, но скомпрометированными веб-сайтами, так и специально подготовленной инфраструктурой злоумышленников.
Мы наблюдали использование следующих команд для получения веб-оболочек:
Microsoft Threat Intelligence выявила веб-оболочку, которую мы оцениваем как эксклюзивную для подгруппы начального доступа и связанную с упомянутыми выше паттернами получения веб-оболочек. Обнаруженная как LocalOlive, эта веб-оболочка используется на скомпрометированных периметрах инфраструктуры и служит основным способом для достижения командования/управления (C2) и развертывания дополнительных утилит на скомпрометированных системах. Написанная на ASPX с поддержкой C#, веб-оболочка имеет достаточно примитивную функциональность, чтобы поддерживать следующие вторичные действия:
24 октября 2022 года подгруппа начального доступа успешно использовала уязвимость CVE-2022-41352 в Zimbra Collaborative. Эта уязвимость позволяет злоумышленникам развертывать веб-оболочки и другие произвольные файлы, отправив электронное письмо с специально подготовленным вложением, что фактически использует уязвимость для записи произвольных файлов. Подгруппа начального доступа использовала эту уязвимость для доставки примитивной веб-оболочки на скомпрометированные серверы, что позволило выполнять произвольные команды.
Электронные письма были отправлены с адресов, контролируемых злоумышленниками:
Когда Seashell Blizzard выявляет цели, представляющие стратегическую ценность, они часто продолжают свою компрометацию сети, развертывая утилиты туннелирования, такие как Chisel, plink и rsockstun, чтобы установить выделенные каналы связи в затронутые сегменты сети.
Когда развертывается Chisel, он часто использует несколько схем именования, включая:
Например, подгруппа начального доступа использовала следующие команды туннелирования:
Когда используется rsockstun, применяется схема именования, такая как Sc.exe.
Обратите внимание, что эти IP-адреса актуальны в рамках временных рамок, указанных в таблице. Некоторые IP-адреса могли быть уже не использованы Seashell Blizzard на момент написания, но они предоставлены для исторического и судебно-расследовательского понимания.
Модификация инфраструктуры для расширения влияния сети через сбор учетных данных (конец 2021 – 2024)
В целевых операциях, где подгруппа начального доступа, вероятно, стремится получить доступ к сети, Microsoft Threat Intelligence наблюдала последующие злонамеренные модификации сетевых ресурсов, включая страницы входа в Outlook Web Access (OWA) и конфигурации DNS.
Модификация сетевых ресурсов позволяет Seashell Blizzard пассивно собирать соответствующие сетевые учетные данные, которые могут быть использованы для расширения доступа актора к чувствительной информации и распространения доступа к целевым сетям в целом. Примечательно, что инфраструктура, связанная с этой уникальной техникой, иногда также используется в двух предыдущих шаблонах эксплуатации, что подчеркивает универсальность инфраструктуры поздних стадий, которая может не всегда ограничиваться различными шаблонами эксплуатации.
Подгруппа начального доступа использует поддельный JavaScript, вставленный в иначе законные страницы входа. Этот вредоносный JavaScript собирает и отправляет имена пользователей и пароли в открытом виде на инфраструктуру, контролируемую актором, по мере их подачи в реальном времени пользователями пострадавшей организации. Мы оцениваем, что этот метод, вероятно, предоставил подгруппе учетные данные для поддержки перемещения по сети внутри нескольких организаций.
Microsoft Threat Intelligence отслеживала следующую инфраструктуру, контролируемую актором, связанную с этим уникальным методом сбора учетных данных при модификации страниц входа OWA:
Microsoft Threat Intelligence с умеренной уверенностью оценивает, что подгруппа начального доступа модифицировала конфигурации DNS A-записей для определенных целей. Хотя цель этих модификаций неясна, из-за природы затронутых систем возможно, что они были предназначены для перехвата учетных данных от критичных служб аутентификации.
Следующие предупреждения в Microsoft Defender для Endpoint могут указывать на активность, связанную с угрозой от группы Seashell Blizzard:
Источник
В этом материале рассматриваются недавно зафиксированные тактики, техники и процедуры (TTPs) этой группы, а также три характерных способа эксплуатации уязвимостей. Географический охват этой кампании существенно расширяет деятельность Seashell Blizzard за пределами Восточной Европы. Кроме того, методы случайного доступа, описанные в исследовании, продолжают предоставлять России возможности для узконаправленных операций и иных киберактивностей.
Методы и масштабы атак
С 2021 года это подразделение Seashell Blizzard использует оппортунистические методы доступа и скрытые способы закрепления в системе, что позволяет:- собирать учетные данные,
- выполнять команды на скомпрометированных системах,
- осуществлять боковое перемещение в сети,
- осуществлять региональные сетевые компрометации крупных масштабов.
После первоначального взлома злоумышленники получали доступ к целому ряду глобальных целей, включая:
- энергетический сектор,
- нефтегазовую отрасль,
- телекоммуникации,
- судоходные компании,
- военные предприятия,
- правительственные организации различных стран.
Seashell Blizzard использует широкомасштабные возможности и публично доступные эксплойты, которые позволяют группе находить и взламывать интернет-доступные системы в различных географических регионах и отраслях. С начала 2024 года группа расширила сферу своих атак, включив в список жертв организации из США и Великобритании. Для этого были использованы уязвимости в следующем программном обеспечении:
- CVE-2024-1709 – ConnectWise ScreenConnect (ПО для удаленного управления IT-системами),
- CVE-2023-48788 – Fortinet FortiClient EMS (система обеспечения безопасности).
Стратегическое значение атак
По оценке Microsoft Threat Intelligence, несмотря на оппортунистический характер атак, их совокупность дает Seashell Blizzard инструменты для поддержки стратегических интересов России.С апреля 2022 года российские киберпреступные группировки все чаще нацеливаются на международные организации, имеющие геополитическое значение или оказывающие поддержку Украине. Помимо создания точек доступа за пределами Украины, подразделение Seashell Blizzard, вероятно, было причастно как минимум к трём разрушительным кибератакам на Украину с 2023 года.
Широкий охват операций Seashell Blizzard создаёт значительные риски для организаций, находящихся в её сфере интересов. Несмотря на использование распространённых методов эксплуатации уязвимостей, изменения в тактике посткомпрометационного поведения могут потребовать более детального аудита инцидентов.
Microsoft Threat Intelligence активно отслеживает кампании Seashell Blizzard и её подразделений, а также при возможности уведомляет затронутых клиентов, предоставляя им информацию для повышения уровня безопасности. Исследование публикуется в целях повышения осведомлённости об угрозах, а также для того, чтобы помочь организациям защитить свою инфраструктуру от подобных атак.
Кто такие Seashell Blizzard?
Seashell Blizzard – это кибергруппировка, связанная с российской военной разведкой (ГРУ, подразделение 74455), осуществляющая кибератаки в интересах России. Группа ведёт деятельность с 2013 года и специализируется на кибершпионаже, деструктивных атаках, информационных операциях и манипулировании промышленными системами (ICS/SCADA).
Ключевые атаки, приписываемые Seashell Blizzard:
- KillDisk (2015) – разрушительное вредоносное ПО,
- FoxBlade (2022) – уничтожающее вредоносное ПО,
- MeDoc (2017) – атака через цепочку поставок,
- NotPetya (2017) – псевдопрограмма-вымогатель,
- Prestige (2022) – имитация программ-вымогателей.
Деятельность в контексте военных конфликтов
С момента вторжения России в Украину в 2022 году группа участвует в постоянных кибероперациях, направленных на поддержку военных действий. Основные цели атак в регионе:- энергетическая инфраструктура,
- государственные учреждения,
- военные объекты,
- логистика и транспорт,
- промышленное производство,
- телекоммуникации,
- другая критически важная гражданская инфраструктура.
С апреля 2023 года Seashell Blizzard увеличила число атак на военные объекты и связанные с ними организации, вероятно, с целью получения тактической разведывательной информации.
Основные методы атак
Seashell Blizzard использует разнообразные инструменты и методы атак, включая:- Cobalt Strike,
- DarkCrystalRAT,
- эксплуатацию уязвимостей периметровой инфраструктуры,
- фишинг,
- модификацию легитимного ПО.
Три основные тактики атак:
- Целевые атаки
- Поиск уязвимостей в инфраструктуре жертвы.
- Фишинговые кампании.
- Модификация системных функций для получения конфиденциальных данных или расширения доступа.
- Оппортунистические атаки
- Массовый взлом интернет-доступных систем.
- Распространение вредоносного ПО через заражённое программное обеспечение.
- Если цель представляет стратегическую ценность, к ней применяются дополнительные методы атаки.
- Гибридные атаки
- Взлом цепочки поставок в Украине (устранён CERT-UA).
- Атаки на IT-провайдеров для компрометации клиентов.
- BE2,
- UAC-0133,
- Blue Echidna,
- Sandworm,
- PHANTOM,
- BlackEnergy Lite,
- APT44.
Оценка принадлежности
По данным Microsoft Threat Intelligence, подразделение, занимающееся первоначальным проникновением, связано с Seashell Blizzard. Несмотря на использование оппортунистических тактик, это подразделение можно идентифицировать по характерному набору эксплойтов, инструментов, инфраструктуры и методам закрепления в системе. Длительное расследование показало, что его посткомпрометационная активность включает уникальные оперативные возможности и ресурсы, используемые главным образом Seashell Blizzard. Также было зафиксировано, что подразделение стремилось получить доступ к организациям до разрушительных атак, связанных с Seashell Blizzard.Масштабы операций и тенденции атак
Seashell Blizzard использует это подразделение для расширения своих операций по мере появления новых эксплойтов и для сохранения доступа к объектам, представляющим интерес для России. Оно действует в различных секторах и регионах.- В 2022 году основным направлением атак была Украина, с прицелом на энергетику, розничную торговлю, образование, консалтинг и сельское хозяйство.
- В 2023 году масштабы атак были расширены, что позволило группе закрепиться в США, Европе, Центральной Азии и на Ближнем Востоке. Основное внимание уделялось секторам, оказывающим материальную поддержку Украине или имеющим геополитическое значение.
- В 2024 году появление множества новых уязвимостей предоставило подразделению ещё больше возможностей для атак. Однако в этом году его внимание сосредоточилось на США, Канаде, Австралии и Великобритании.
Если среди жертв оказывается объект стратегического интереса, фиксируется активная посткомпрометационная деятельность. Географический фокус подразделения изменяется: оно может проводить широкомасштабные атаки сразу по нескольким регионам, а затем переключаться на конкретные страны или области, что демонстрирует его способность адаптироваться к различным региональным задачам.
Оппортунистическое компрометирование периметровой инфраструктуры через уязвимости CVE
С конца 2021 года Seashell Blizzard использует свое подразделение первоначального доступа для проведения целевых атак, эксплуатируя уязвимые системы, подключенные к интернету. Обнаружение таких систем осуществляется как с помощью прямого сканирования, так и через сторонние сервисы интернет-сканирования и базы знаний.После успешной эксплуатации уязвимости подразделение использует типичный операционный цикл, включающий закрепление в системе и боковое перемещение, причем со временем эти методы становятся все более незаметными. Microsoft Threat Intelligence зафиксировала три характерных схемы эксплуатации и поведения, связанных с этим подразделением.
Уязвимости, используемые подразделением
На сегодняшний день подразделение активно эксплуатировало как минимум восемь уязвимостей в инфраструктуре серверов, расположенных на сетевых периметрах небольших офисов (SOHO) и корпоративных сетей:- Microsoft Exchange (CVE-2021-34473)
- Zimbra Collaboration (CVE-2022-41352)
- OpenFire (CVE-2023-32315)
- JetBrains TeamCity (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- ConnectWise ScreenConnect (CVE-2024-1709)
- Fortinet FortiClient EMS (CVE-2023-48788)
- JBOSS (точный CVE неизвестен)
В большинстве случаев после успешной эксплуатации уязвимости Seashell Blizzard предпринимает шаги для долгосрочного сохранения доступа к скомпрометированной системе. В трех задокументированных случаях такой доступ предшествовал разрушительным атакам, что указывает на возможную связь между деятельностью подразделения и последующими деструктивными или дезорганизующими операциями.
Схемы эксплуатации
Microsoft Threat Intelligence зафиксировала три основных схемы эксплуатации уязвимостей, применяемых этим подразделением. Они будут рассмотрены далее.Развертывание пакетов удаленного управления (RMM) для закрепления и командного управления
С февраля 2024 года подразделение первоначального доступа Seashell Blizzard начало применять новую технику для закрепления в системах и организации командного управления (C2) — установку пакетов удаленного мониторинга и управления (RMM). Впервые это было зафиксировано при эксплуатации уязвимостей ConnectWise ScreenConnect (CVE-2024-1709) и Fortinet FortiClient EMS (CVE-2023-48788). После получения доступа злоумышленники устанавливали RMM-программы, такие как Atera Agent и Splashtop Remote Services.Использование RMM-пакетов позволяло скрывать присутствие атакующих, так как эти программы выглядят как легитимные утилиты и реже вызывают подозрения по сравнению с троянскими программами удаленного доступа (RAT). Хотя подобные методы использовались другими государственными группировками с 2022 года (например, иранской Mango Sandstorm), конкретные техники Seashell Blizzard обладают уникальными характеристиками.
Основные этапы эксплуатации
На первых этапах этой кампании атакам подверглись организации в Украине, США, Канаде, Великобритании и Австралии. Однако активное пост-компрометационное развитие событий происходило лишь у ограниченного числа жертв. В таких случаях атакующие применяли различные методы для получения учетных данных и развертывали дополнительные инструменты для удаленного доступа и туннелирования (например, ShadowLink).Обе уязвимости CVE-2024-1709 и CVE-2023-48788 позволяли атакующим выполнять произвольные команды на скомпрометированном сервере. Далее использовались два метода установки RMM-агентов:
- Загрузка Atera Agent с легитимных серверов
- На скомпрометированных серверах ScreenConnect злоумышленники загружали установщики Atera с официальных URL-адресов Atera, используя утилиты Bitsadmin и curl.
- Загрузка Atera Agent с серверов атакующих
- При эксплуатации CVE-2023-48788 в апреле 2024 года злоумышленники загружали установщики агентов с управляемой ими VPS-инфраструктуры.
После установки RMM-программ Seashell Blizzard использовала их встроенные функции для развертывания дополнительных инструментов, таких как утилиты для кражи учетных данных, эксфильтрации данных и развертывания кастомных программ для долговременного закрепления.
Методы кражи учетных данных
Атакующие использовали три основных метода:
- Извлечение учетных данных из реестра через reg.exe
- Кража учетных данных с помощью подмененного procdump
- Извлечение паролей через Task Manager и дамп процесса LSASS
Долговременное закрепление через ShadowLink
Среди ряда жертв Seashell Blizzard провела уникальные пост-компрометационные действия, что указывает на стремление злоумышленников обеспечить более стабильное закрепление и прямой доступ. В таких случаях использовалась технология OpenSSH с уникальным публичным ключом, что позволяло атакующим подключаться к скомпрометированным системам, используя контролируемую учетную запись и учетные данные. Также использовался метод постоянного доступа и надежного командного управления (C2), известный как ShadowLink.
ShadowLink обеспечивает постоянный удаленный доступ, настраивая скомпрометированную систему как скрытый сервис в сети Tor. Это достигается с помощью комбинации бинарных файлов Tor и уникального конфигурационного файла torrc, который настраивает систему для удаленного доступа. Системы, скомпрометированные с помощью ShadowLink, получают уникальный адрес .onion, что делает их доступными через сеть Tor. Этот метод позволяет Seashell Blizzard избегать стандартных подходов с использованием RAT (троянов для удаленного доступа), которые обычно используют C2-инфраструктуру, контролируемую атакующими, что часто легко выявляется администраторами сетей. Используя скрытые сервисы Tor, скомпрометированная система создает постоянную цепочку для подключения к сети Tor, действуя как скрытый туннель, эффективно скрывая все входящие соединения и минимизируя раскрытие как со стороны атакующего, так и со стороны жертвы.
ShadowLink состоит из двух основных компонентов: легитимного бинарного файла службы Tor и конфигурационного файла torrc, который содержит настройки для скрытых сервисов Tor, включая порт-форвардинг для таких сервисов, как RDP (3389) и SSH. Seashell Blizzard обычно использует ShadowLink для перенаправления входящих соединений на адрес скрытого сервиса Tor к портам для RDP. Метод закрепления осуществляется через системную службу.
Развертывание веб-оболочек для устойчивости и командования/управления (с конца 2021 года – по настоящее время)
С конца 2021 года подгруппа первоначального доступа Seashell Blizzard в основном использовала веб-оболочки после успешной эксплуатации для поддержания точек опоры и выполнения команд, необходимых для развертывания вторичных инструментов, способствующих продвижению по сети. На данный момент этот метод эксплуатации остается основным методом обеспечения устойчивости. Начиная с середины 2022 года, этот способ эксплуатации позволил проводить уникальные пост-компрометационные действия против организаций в Центральной Азии и Европе, что, вероятно, было направлено на продвижение геополитических интересов России и подготовку к ударам по конкретным стратегическим целям.Эксплуатация уязвимостей Microsoft Exchange и Zimbra
Microsoft Threat Intelligence выявила как минимум две веб-оболочки, которые постоянно развертывает эта подгруппа начального доступа. Несмотря на то, что веб-оболочки могут быть развернуты разными методами, чаще всего они появляются после эксплуатации уязвимостей, позволяющих удаленное выполнение кода (RCE) или загрузку произвольных файлов. В случае подгруппы начального доступа, мы наблюдали развертывание веб-оболочек после эксплуатации уязвимостей в Microsoft Exchange (CVE-2021-34473) и Zimbra (CVE-2022-41352). В случаях, когда доступно удаленное выполнение кода, подгруппа начального доступа регулярно извлекает веб-оболочки с инфраструктуры, контролируемой злоумышленниками. Эта инфраструктура может быть как легитимными, но скомпрометированными веб-сайтами, так и специально подготовленной инфраструктурой злоумышленников.
Мы наблюдали использование следующих команд для получения веб-оболочек:
Microsoft Threat Intelligence выявила веб-оболочку, которую мы оцениваем как эксклюзивную для подгруппы начального доступа и связанную с упомянутыми выше паттернами получения веб-оболочек. Обнаруженная как LocalOlive, эта веб-оболочка используется на скомпрометированных периметрах инфраструктуры и служит основным способом для достижения командования/управления (C2) и развертывания дополнительных утилит на скомпрометированных системах. Написанная на ASPX с поддержкой C#, веб-оболочка имеет достаточно примитивную функциональность, чтобы поддерживать следующие вторичные действия:
- Загрузка и выгрузка файлов
- Выполнение команд оболочки
- Открытие порта (по умолчанию установлен TCP порт 250)
24 октября 2022 года подгруппа начального доступа успешно использовала уязвимость CVE-2022-41352 в Zimbra Collaborative. Эта уязвимость позволяет злоумышленникам развертывать веб-оболочки и другие произвольные файлы, отправив электронное письмо с специально подготовленным вложением, что фактически использует уязвимость для записи произвольных файлов. Подгруппа начального доступа использовала эту уязвимость для доставки примитивной веб-оболочки на скомпрометированные серверы, что позволило выполнять произвольные команды.
Электронные письма были отправлены с адресов, контролируемых злоумышленниками:
- akfcjweiopgjebvh@proton.me
- ohipfdpoih@proton.me
- miccraftsor@outlook.com
- amymackenzie147@protonmail.ch
- ehklsjkhvhbjl@proton.me
- MirrowSimps@outlook.com
Разведка и определение особенностей инфраструктуры
После развертывания веб-оболочек, подгруппа начального доступа выполняет определенные последовательные команды, которые, вероятно, используются для определения характеристик и атрибуции сетей жертв; эти паттерны поведения могут указывать на то, что операторы быстро используют компрометации или возможно использование автоматизации после успешной эксплуатации.Развертывание утилит туннелирования
Когда Seashell Blizzard выявляет цели, представляющие стратегическую ценность, они часто продолжают свою компрометацию сети, развертывая утилиты туннелирования, такие как Chisel, plink и rsockstun, чтобы установить выделенные каналы связи в затронутые сегменты сети.
Когда развертывается Chisel, он часто использует несколько схем именования, включая:
- MsChSoft.exe
- MsNan.exe
- Msoft.exe
- Chisel.exe
- Win.exe
- MsChs.exe
- MicrosoftExchange32.exe
- Desk.exe
- Sys.exe
Например, подгруппа начального доступа использовала следующие команды туннелирования:
Когда используется rsockstun, применяется схема именования, такая как Sc.exe.
Запуск туннелей
При установке туннелей подгруппа начального доступа регулярно настраивает обратные туннели на эксклюзивную инфраструктуру, принадлежащую актерам, использующим виртуальные частные серверы (VPS), включая следующие IP-адреса:| IP-адрес туннеля | Первый раз использован | Последний раз использован |
|---|---|---|
| 103.201.129[.]130 | Май 2022 | Июль 2022 |
| 104.160.6[.]2 | Сентябрь 2022 | Декабрь 2022 |
| 195.26.87[.]209 | Сентябрь 2023 | Апрель 2024 |
Обратите внимание, что эти IP-адреса актуальны в рамках временных рамок, указанных в таблице. Некоторые IP-адреса могли быть уже не использованы Seashell Blizzard на момент написания, но они предоставлены для исторического и судебно-расследовательского понимания.
Модификация инфраструктуры для расширения влияния сети через сбор учетных данных (конец 2021 – 2024)
В целевых операциях, где подгруппа начального доступа, вероятно, стремится получить доступ к сети, Microsoft Threat Intelligence наблюдала последующие злонамеренные модификации сетевых ресурсов, включая страницы входа в Outlook Web Access (OWA) и конфигурации DNS.
Модификация сетевых ресурсов позволяет Seashell Blizzard пассивно собирать соответствующие сетевые учетные данные, которые могут быть использованы для расширения доступа актора к чувствительной информации и распространения доступа к целевым сетям в целом. Примечательно, что инфраструктура, связанная с этой уникальной техникой, иногда также используется в двух предыдущих шаблонах эксплуатации, что подчеркивает универсальность инфраструктуры поздних стадий, которая может не всегда ограничиваться различными шаблонами эксплуатации.
Модификация веб-страниц входа
Подгруппа начального доступа использует поддельный JavaScript, вставленный в иначе законные страницы входа. Этот вредоносный JavaScript собирает и отправляет имена пользователей и пароли в открытом виде на инфраструктуру, контролируемую актором, по мере их подачи в реальном времени пользователями пострадавшей организации. Мы оцениваем, что этот метод, вероятно, предоставил подгруппе учетные данные для поддержки перемещения по сети внутри нескольких организаций.
Microsoft Threat Intelligence отслеживала следующую инфраструктуру, контролируемую актором, связанную с этим уникальным методом сбора учетных данных при модификации страниц входа OWA:
- hwupdates[.]com
- cloud-sync[.]org
- 103.201.129[.]130
Модификация конфигураций DNS
Microsoft Threat Intelligence с умеренной уверенностью оценивает, что подгруппа начального доступа модифицировала конфигурации DNS A-записей для определенных целей. Хотя цель этих модификаций неясна, из-за природы затронутых систем возможно, что они были предназначены для перехвата учетных данных от критичных служб аутентификации.
Заключение
Поскольку Seashell Blizzard является киберотражением России в Украине, Microsoft Threat Intelligence оценивает, что эта подгруппа доступа будет продолжать разрабатывать новые горизонтально масштабируемые методы для компрометации сетей как в Украине, так и в глобальном масштабе, поддерживая военные цели России и развивающиеся национальные приоритеты. Эта подгруппа, характеризующаяся своей почти глобальной охватностью, представляет собой расширение как географической направленности операций Seashell Blizzard, так и масштаба ее деятельности. В то же время методы доступа Seashell Blizzard, ориентированные на возможности, вероятно, предоставляют России широкие возможности для нишевых операций и деятельности, которая продолжит быть ценной в среднесрочной перспективе.Руководство по смягчению и защите
Для укрепления сетей против деятельности Seashell Blizzard, указанной выше, защитники могут реализовать следующие меры:Укрепление конфигурации операционной среды
- Использовать систему управления уязвимостями, такую как Microsoft Defender Vulnerability Management, для управления уязвимостями, слабостями и мероприятиями по исправлению по всему окружению операционных систем, программного обеспечения и сетевых устройств.
- Требовать многофакторную аутентификацию (MFA). Несмотря на попытки обойти MFA, такие как фишинг AiTM, внедрение MFA остается важным элементом безопасности идентификации и высокоэффективным методом защиты от множества угроз.
- Применять методы аутентификации, устойчивая к фишингу, такие как FIDO Tokens или Microsoft Authenticator с passkey.
- Настроить Microsoft Entra ID Conditional Access для использования методов аутентификации, устойчивых к фишингу, для критичных приложений.
- Рекомендуется использовать Microsoft Edge и другие браузеры, поддерживающие Microsoft Defender SmartScreen, который блокирует вредоносные сайты, включая фишинговые сайты.
- Организации могут использовать Microsoft Defender External Attack Surface Management (EASM), инструмент для постоянного обнаружения и отображения цифровой атакующей поверхности.
- Включить защиту уровня сети для подключений к Remote Desktop Service.
- Убедитесь, что защита от изменений включена в Microsoft Defender для Endpoint.
- Включите защиту от сетевых угроз в Microsoft Defender для Endpoint.
- Включите защиту от веб-угроз.
- Настройте автоматизированное расследование и устранение нарушений для мгновенного реагирования на угрозы.
Конфигурация Microsoft Defender Antivirus
- Включите защиту с использованием облачных технологий в Microsoft Defender Antivirus для защиты от быстро развивающихся инструментов и техник атак.
- Включите сканирование скачанных файлов и вложений.
- Включите защиту от программ с нежелательными приложениями в режиме блокировки.
- Включите Safe Links и Safe Attachments.
- Включите автоудаление (ZAP) для нейтрализации вредоносных сообщений.
- Используйте симуляции атак в Microsoft Defender для Office 365 для тренировки пользователей.
Конфигурация Microsoft Defender для Identity
- Предотвратить раскрытие учетных данных в открытом виде.
- Снизить пути для латерального перемещения атакующих.
Обнаружение Microsoft Defender XDR
Microsoft Defender Antivirus обнаруживает данную угрозу как следующее вредоносное ПО:- HackTool:Win64/ShadowLink.A!dha
- HackTool:Win64/ShadowLink.B!dha
- Exploit
ython/CVE-2024-1709 - Rnasom:Win32/Inc.MA
- BackDoorHP/Remoteshell.V
- Trojan:Win32/LocalOlive.A!dha
- Trojan:Win32/LocalOlive.B!dha
- Trojan:Win32/LocalOlive.C!dha
Microsoft Defender для Endpoint
Следующие предупреждения в Microsoft Defender для Endpoint могут указывать на активность, связанную с угрозой от группы Seashell Blizzard:
- Возможная активность группы Seashell Blizzard
- Подозрительная установка Atera через ScreenConnect
- Подозрительное выполнение команд через ScreenConnect
- Подозрительная последовательность действий для разведки
- Детектор CredentialDumpingViaEsentutl
- Подозрительное поведение cmd.exe
- Вход в SQL Server через xp_cmdshell
- Подозрительная активность порт-сканирования в рамках сессии RDP
- Подозрительное подключение к удаленному сервису
- Подозрительное использование программного обеспечения для удаленного управления
- Добавление нового локального администратора через Net команды
- Извлечение конфиденциальных данных из реестра
- Подозрительное создание задачи в Планировщике
- Потенциальная активность, управляемая человеком
- Скомпрометированная учетная запись проводит атаку с ручным управлением
- Доступ к конфиденциальным файлам для возможной эксфильтрации или шифрования
- Возможная эксплуатация уязвимости Fortinet FortiClientEMS
- Возможная цель кражи учетных данных NTLM
- Возможная эксплуатация уязвимостей ProxyShell
- Потенциальное использование прокси или туннельного инструмента с вредоносными целями
- Попытка запуска скрытого многофункционального инструмента
Microsoft Defender для Cloud
Следующие предупреждения в Microsoft Defender для Cloud могут также указывать на активность, связанную с этой угрозой. Однако эти предупреждения могут быть вызваны и другими не связанными с угрозой действиями и не отслеживаются в статусных карточках, представленных в этом отчете:- Связь с подозрительным доменом, идентифицированным в рамках разведки угроз
- Подозрительная активность PowerShell
- Обнаружено подозрительное сочетание HTA и PowerShell
- Обнаружен закодированный исполнимый файл в командной строке
- Обнаружена зашифрованная командная строка
Источник
