Хакер скомпрометировал Active Directory менее, чем за 24 часа

Недавняя атака вредоносного ПО IcedID позволила злоумышленнику скомпрометировать домен Active Directory менее, чем через 24 часа после получения первоначального доступа, а также позаимствовать методы у других групп (как Conti) для достижения своих целей.

Во время атаки хакер злоупотребил протоколоами Windows и выполнил:

• рутинные команды разведки,
• кражи учетных данных,
• бокового перемещения,
• а также Cobalt Strike на недавно скомпрометированном хосте.

IcedID, также известный под названием BokBot, начал свою жизнь как банковский троян в 2017 году, а затем превратился в дроппер для других вредоносных программ, как Emote, TrickBot, Qakbot, Bumblebee и Raspberry Robin.

В атаках, связанных с доставкой IcedID, использовались различные методы. Особенно после решения Microsoft заблокировать макросы из файлов Office, загруженных из Интернета. Цепочка заражения начинается с файла образа ISO, содержащегося в ZIP-архиве. Его открытие завершается выполнением полезной нагрузки IcedID. Далее программа закрепляется на хосте с помощью запланированной задачи и связывается с удаленным сервером для загрузки полезных нагрузок следующего этапа, включая маяк Cobalt Strike для последующей разведки.

Вредоносное ПО также выполняет боковое перемещение по сети и запускает один и тот же Cobalt Strike Beacon на всех этих рабочих станциях, а затем приступает к установке агента Atera, законного инструмента удаленного администрирования, в качестве резервного механизма удаленного доступа.

Использование подобных ИТ-инструментов позволяет злоумышленникам создать для себя дополнительный «бэкдор» на случай, если их первоначальные механизмы сохранения будут обнаружены и исправлены. Эти инструменты с меньшей вероятностью будут обнаружены антивирусом или EDR, а также с большей вероятностью будут списаны как ложные срабатывания.

Cobalt Strike Beacon также используется в качестве канала для загрузки инструмента C#, получившего название Rubeus. Используется он для кражи учетных данных, что в итоге позволяет хакеру перемещаться на Windows Server с правами администратора домена. Повышенные разрешения используются для проведения атаки DCSync, позволяя злоумышленнику имитировать поведение контроллера домена и получать учетные данные с других контроллеров домена.

Другие инструменты, используемые в рамках атаки, включают в себя:

• законную утилиту netscan.exe для сканирования сети на предмет бокового перемещения;
• а также программное обеспечение для синхронизации файлов rclone для эксфильтрации интересующих каталогов в службу облачного хранения MEGA.

Стоит отметить, что использование агента Atgera и netscan.exe ранее приписывалось операциям программ-вымогателей таких, как Conti и LockBit, из чего можно предположить, что преступники берут лист из своей книги.