Исследователи в области кибербезопасности Майкл Тиггес, Анна Фам и Брайан Мастерс из компании Huntress детализировали комплексную схему проникновения в корпоративные инфраструктуры в отчете «Fake Tech Support Spam Deploys Customized Havoc C2 Across Organizations». Злоумышленники реализуют многоуровневые сценарии взлома, комбинируя агрессивную социальную инженерию под видом службы ИТ-поддержки с передовыми техническими эксплойтами. Конечная цель этих стремительных операций заключается в краже конфиденциальных данных и развертывании программ-вымогателей внутри пораженных сетей.
Атака начинается с этапа создания первичного хаоса: на корпоративные адреса электронной почты в Microsoft Outlook обрушивается массивный поток спама, переполняющий входящие сообщения. На фоне этой искусственно созданной проблемы злоумышленники выходят на связь с сотрудниками, выдавая себя за специалистов ИТ-поддержки Microsoft или внутреннего корпоративного персонала. Чтобы повысить вероятность успеха, хакеры звонят жертвам на их личные телефонные номера и предлагают помощь в решении проблемы с мусорными письмами, убеждая предоставить удаленный доступ к рабочему компьютеру через легальные инструменты Quick Assist или AnyDesk.
Получив контроль над машиной, атакующие открывают веб-браузер и переходят на поддельную целевую страницу Microsoft, которая физически размещена на облачных мощностях Amazon Web Services (AWS). Жертве дают указание ввести свой адрес электронной почты для доступа к фиктивной «системе обновления правил защиты от спама Outlook». Как только пользователь нажимает кнопку «Update rules configuration», активируется скрытый скрипт-оверлей, требующий ввода пароля. Этот шаг позволяет хакерам собрать подлинные учетные данные, сохраняя при этом полную иллюзию легитимного взаимодействия с ИТ-отделом.
Следующим этапом становится доставка вредоносной полезной нагрузки под видом загрузки «антиспам-патча». На самом деле запускается один из легальных системных бинарных файлов: ADNotificationManager.exe, DLPUserAgent.exe или Werfault.exe. Использование доверенных файлов необходимо для реализации техники подмены (DLL sideloading) — они принудительно загружают вредоносную библиотеку vcruntime140_1.dll. В свою очередь, этот DLL-файл порождает процесс, содержащий агент Demon, который представляет собой специализированный шелл-код фреймворка управления и контроля (C2) Havoc.
Для закрепления в зараженной системе хакеры создают назначенные задания, которые автоматически запускают полезную нагрузку Havoc Demon при каждой перезагрузке компьютера. В качестве резервного механизма сохранения доступа на скомпрометированные хосты устанавливаются легальные средства удаленного мониторинга и управления (RMM) — Level RMM и XEOX. Такая диверсификация позволяет злоумышленникам оставаться в сети даже в случае обнаружения и блокировки основного канала. Переход от первоначального заражения к горизонтальному перемещению по сети происходит предельно агрессивно: в ходе инцидента было скомпрометировано 9 дополнительных конечных точек всего за 11 часов.
Техническая изощренность кампании заключается в использовании высокоуровневых методов обхода решений по обнаружению и реагированию на конечных точках (EDR). Злоумышленники применяют запутывание потока управления (control flow obfuscation) и временные циклы задержки, чтобы переждать период проверки кода в изолированных песочницах (sandbox). Кроме того, в арсенале атакующих присутствуют техники Hell's Gate и Halo's Gate, которые используются для перехвата и модификации функций системного файла ntdll.dll, что позволяет полностью скрыть вредоносную активность от сигнатурного анализа.
Эксперты Huntress отмечают, что комбинация email-бомбинга и фишинга через телефонные звонки тесно совпадает с методами группировки вымогателей Black Basta. Выдвигается гипотеза, что за атаками стоят либо бывшие партнеры этого синдиката, либо конкурирующие группы, скопировавшие успешный сценарий социальной инженерии. Данный инцидент ярко иллюстрирует концепцию распространения технологий кибервойны «сверху вниз»: сложнейшие методы уклонения (например, Hell's Gate), ранее являвшиеся прерогативой проправительственных хакеров, теперь стали стандартом для коммерческого вредоносного ПО. Успех современных злоумышленников строится на последовательном наслаивании тактик: от психологической манипуляции до скрытого внедрения DLL и мультиплатформенного закрепления через Havoc и легальные RMM-инструменты.
Изображение носит иллюстративный характер
Атака начинается с этапа создания первичного хаоса: на корпоративные адреса электронной почты в Microsoft Outlook обрушивается массивный поток спама, переполняющий входящие сообщения. На фоне этой искусственно созданной проблемы злоумышленники выходят на связь с сотрудниками, выдавая себя за специалистов ИТ-поддержки Microsoft или внутреннего корпоративного персонала. Чтобы повысить вероятность успеха, хакеры звонят жертвам на их личные телефонные номера и предлагают помощь в решении проблемы с мусорными письмами, убеждая предоставить удаленный доступ к рабочему компьютеру через легальные инструменты Quick Assist или AnyDesk.
Получив контроль над машиной, атакующие открывают веб-браузер и переходят на поддельную целевую страницу Microsoft, которая физически размещена на облачных мощностях Amazon Web Services (AWS). Жертве дают указание ввести свой адрес электронной почты для доступа к фиктивной «системе обновления правил защиты от спама Outlook». Как только пользователь нажимает кнопку «Update rules configuration», активируется скрытый скрипт-оверлей, требующий ввода пароля. Этот шаг позволяет хакерам собрать подлинные учетные данные, сохраняя при этом полную иллюзию легитимного взаимодействия с ИТ-отделом.
Следующим этапом становится доставка вредоносной полезной нагрузки под видом загрузки «антиспам-патча». На самом деле запускается один из легальных системных бинарных файлов: ADNotificationManager.exe, DLPUserAgent.exe или Werfault.exe. Использование доверенных файлов необходимо для реализации техники подмены (DLL sideloading) — они принудительно загружают вредоносную библиотеку vcruntime140_1.dll. В свою очередь, этот DLL-файл порождает процесс, содержащий агент Demon, который представляет собой специализированный шелл-код фреймворка управления и контроля (C2) Havoc.
Для закрепления в зараженной системе хакеры создают назначенные задания, которые автоматически запускают полезную нагрузку Havoc Demon при каждой перезагрузке компьютера. В качестве резервного механизма сохранения доступа на скомпрометированные хосты устанавливаются легальные средства удаленного мониторинга и управления (RMM) — Level RMM и XEOX. Такая диверсификация позволяет злоумышленникам оставаться в сети даже в случае обнаружения и блокировки основного канала. Переход от первоначального заражения к горизонтальному перемещению по сети происходит предельно агрессивно: в ходе инцидента было скомпрометировано 9 дополнительных конечных точек всего за 11 часов.
Техническая изощренность кампании заключается в использовании высокоуровневых методов обхода решений по обнаружению и реагированию на конечных точках (EDR). Злоумышленники применяют запутывание потока управления (control flow obfuscation) и временные циклы задержки, чтобы переждать период проверки кода в изолированных песочницах (sandbox). Кроме того, в арсенале атакующих присутствуют техники Hell's Gate и Halo's Gate, которые используются для перехвата и модификации функций системного файла ntdll.dll, что позволяет полностью скрыть вредоносную активность от сигнатурного анализа.
Эксперты Huntress отмечают, что комбинация email-бомбинга и фишинга через телефонные звонки тесно совпадает с методами группировки вымогателей Black Basta. Выдвигается гипотеза, что за атаками стоят либо бывшие партнеры этого синдиката, либо конкурирующие группы, скопировавшие успешный сценарий социальной инженерии. Данный инцидент ярко иллюстрирует концепцию распространения технологий кибервойны «сверху вниз»: сложнейшие методы уклонения (например, Hell's Gate), ранее являвшиеся прерогативой проправительственных хакеров, теперь стали стандартом для коммерческого вредоносного ПО. Успех современных злоумышленников строится на последовательном наслаивании тактик: от психологической манипуляции до скрытого внедрения DLL и мультиплатформенного закрепления через Havoc и легальные RMM-инструменты.
