Исследователи Trend Micro обнаружили ранее неизвестный вектор | SecAtor

Исследователи Trend Micro обнаружили ранее неизвестный вектор заражения программой-вымогателем BlackCat (ака ALPHV).

Новая кампания BlackCat реализуется через поддельные страницы, которые имитируют официальный сайт приложения для передачи файлов WinSCP для Windows с установщиками, зараженными вредоносным ПО.

Для чего они активно продвигаются в Google и Bing через рекламу и имеют домены, аналогичные реальному winscp.net для утилиты, например winscp[.]com.

WinSCP (Windows Secure Copy) — это популярный бесплатный клиент SFTP, FTP, S3, SCP и файловый менеджер с открытым исходным кодом с возможностями передачи файлов SSH со статистикой в 400 000 загрузок еженедельно.

BlackCat использует программу как приманку, чтобы потенциально заразить компьютеры системных администраторов, веб-администраторов и ИТ-специалистов для получения первоначального доступа к корпоративным сетям.

Наблюдаемая атака начинается с поисковых запросов «WinSCP Download» в Bing или Google, после чего жертва попадает на продвигаемый сайт, который затем перенаправляет пользователя на клон официального сайта WinSCP с кнопкой загрузки. 

Жертва грузит файл ISO, содержащий setup.exe и msi.dll, первый из которых является приманкой для запуска пользователем, а второй — дроппером вредоносного ПО.

После запуска setup.exe он вызовет msi.dll, который позже извлечет папку Python из раздела DLL RCDATA в качестве реального установщика для WinSCP, который будет установлен на машине.

В процессе также устанавливается троянизированная python310.dll и создается механизм сохраняемости с помощью ключа запуска с именем Python и значением C:\Users\Public\Music\python\pythonw.exe.

Исполняемый файл pythonw.exe загружает модифицированную запутанную python310.dll, содержащую Cobalt Strike, который подключается к адресу С2.

Уже на последующих этапах операторы ALPHV используют: AdFind, команды PowerShell, AccessChk64, Findstr, PowerView, скрипты Python, PsExec, BitsAdmin, Curl, AnyDesk, KillAV BAT, PuTTY Secure Copy.

Наряду с ними ALPHV также применяли Terminator EDR Killer (Spyboy), который, согласно недавнему исследованию CrowdStrike, способен обходить несколько инструментов безопасности Windows, используя BYOVD.

Trend Micro с уверенностью связывает замеченные в атаках TTP с ALPHV. Но вместе с тем, исследователи также обнаружили файл Clop в одном из исследованных доменов C2, полагая, что субъект угрозы может быть связан с несколькими операциями ransomware.