SILENTNIGHT, BASTA и KNOTROCK — чем ещё удивят исследователей кибербандиты?
В середине 2022 года специалисты Mandiant обнаружили несколько вторжений, связанных с QAKBOT, что привело к развёртыванию BEACON и других C2 -маяков. Это стало первым случаем идентификации группы UNC4393, основного пользователя вымогательского ПО BASTA.
За время наблюдений Mandiant зафиксировала более 40 вторжений UNC4393 в 20 различных отраслях. Хотя ранее медицинские организации не были основным объектом атак группы, несколько инцидентов в этом году указывают на возможное расширение их интересов.
UNC4393 представляет собой финансово мотивированный кластер угроз, который активно использует вымогательское ПО BASTA с середины 2022 года. Группа обычно получает первоначальный доступ через ботнет QAKBOT, который распространяется через фишинговые электронные письма с вредоносными ссылками или вложениями.
Операторы BASTA предпочитают закрытую модель аффилиатов, предоставляя доступ только проверенным третьим лицам, что отличает их от традиционных моделей «вымогательское ПО как услуга» ( RaaS ).
Благодаря высокой оперативной скорости, UNC4393 может проводить разведку, эксфильтрацию данных и выполнять свои цели в среднем за 42 часа. Несмотря на это, Mandiant выделяет два основных кластера, связанных с BASTA: UNC4393 и UNC3973. UNC4393 охватывает большинство активностей, связанных с BASTA, тогда как UNC3973 демонстрирует уникальные тактики и методы, требующие отдельного отслеживания.
Всего в арсенале UNC4393 числится множество вредоносных программ, среди которых, например:
После получения доступа UNC4393 использует комбинацию легитимных инструментов и собственного вредоносного ПО. Часто применяется DNS BEACON для поддержания доступа и выполнения операций. Начиная с 2024 года, группа использует многоэтапную цепочку инфекций, включающую DAWNCRY и PORTYARD.
Для разведки UNC4393 применяет такие инструменты, как BLOODHOUND, ADFIND и PSNMAP. Также используется собственный инструмент COGSCAN для сбора информации о сети и системах. Для перемещения в сети и поддержания доступа UNC4393 использует SMB BEACON и протокол удалённого рабочего стола (RDP). Часто применяются возможности удалённого выполнения через WMI, что позволяет быстро распространять вымогательское ПО.
Цель UNC4393 — быстро собрать и эксфильтровать данные, чтобы использовать их для многоуровневого шантажа. В основном для кражи данных используется программа RCLONE. Ранее группа вручную развёртывала шифровальщик, но с конца 2023 года начала использовать утилиту KNOTROCK, что значительно ускорило процесс.
UNC4393 продолжает развиваться и представляет значительную угрозу. Переход от использования готовых инструментов к разработке собственного вредоносного ПО и сотрудничество с другими группировками позволяет ей оптимизировать свои операции.
Эффективная защита от таких угроз требует проактивных и комплексных мер безопасности, включая регулярное обновление программного обеспечения, обучение сотрудников методам кибербезопасности и использование передовых технологий для обнаружения и предотвращения атак.
В середине 2022 года специалисты Mandiant обнаружили несколько вторжений, связанных с QAKBOT, что привело к развёртыванию BEACON и других C2 -маяков. Это стало первым случаем идентификации группы UNC4393, основного пользователя вымогательского ПО BASTA.
За время наблюдений Mandiant зафиксировала более 40 вторжений UNC4393 в 20 различных отраслях. Хотя ранее медицинские организации не были основным объектом атак группы, несколько инцидентов в этом году указывают на возможное расширение их интересов.
UNC4393 представляет собой финансово мотивированный кластер угроз, который активно использует вымогательское ПО BASTA с середины 2022 года. Группа обычно получает первоначальный доступ через ботнет QAKBOT, который распространяется через фишинговые электронные письма с вредоносными ссылками или вложениями.
Операторы BASTA предпочитают закрытую модель аффилиатов, предоставляя доступ только проверенным третьим лицам, что отличает их от традиционных моделей «вымогательское ПО как услуга» ( RaaS ).
Благодаря высокой оперативной скорости, UNC4393 может проводить разведку, эксфильтрацию данных и выполнять свои цели в среднем за 42 часа. Несмотря на это, Mandiant выделяет два основных кластера, связанных с BASTA: UNC4393 и UNC3973. UNC4393 охватывает большинство активностей, связанных с BASTA, тогда как UNC3973 демонстрирует уникальные тактики и методы, требующие отдельного отслеживания.
Всего в арсенале UNC4393 числится множество вредоносных программ, среди которых, например:
- BASTA: вымогательское ПО, которое шифрует локальные файлы и использует случайные ключи для каждого файла.
- SYSTEMBC: туннелер, который скрывает сетевой трафик, связанный с другими вредоносными программами.
- KNOTWRAP: дроппер, который выполняет дополнительные нагрузки в памяти.
- KNOTROCK: утилита на базе.NET, создающая символические ссылки и запускающая BASTA.
- DAWNCRY: дроппер, который расшифровывает и выполняет встроенные ресурсы.
- PORTYARD: туннелер, устанавливающий соединение с C2-сервером.
- COGSCAN: сборщик данных о системе и сети.
После получения доступа UNC4393 использует комбинацию легитимных инструментов и собственного вредоносного ПО. Часто применяется DNS BEACON для поддержания доступа и выполнения операций. Начиная с 2024 года, группа использует многоэтапную цепочку инфекций, включающую DAWNCRY и PORTYARD.
Для разведки UNC4393 применяет такие инструменты, как BLOODHOUND, ADFIND и PSNMAP. Также используется собственный инструмент COGSCAN для сбора информации о сети и системах. Для перемещения в сети и поддержания доступа UNC4393 использует SMB BEACON и протокол удалённого рабочего стола (RDP). Часто применяются возможности удалённого выполнения через WMI, что позволяет быстро распространять вымогательское ПО.
Цель UNC4393 — быстро собрать и эксфильтровать данные, чтобы использовать их для многоуровневого шантажа. В основном для кражи данных используется программа RCLONE. Ранее группа вручную развёртывала шифровальщик, но с конца 2023 года начала использовать утилиту KNOTROCK, что значительно ускорило процесс.
UNC4393 продолжает развиваться и представляет значительную угрозу. Переход от использования готовых инструментов к разработке собственного вредоносного ПО и сотрудничество с другими группировками позволяет ей оптимизировать свои операции.
Эффективная защита от таких угроз требует проактивных и комплексных мер безопасности, включая регулярное обновление программного обеспечения, обучение сотрудников методам кибербезопасности и использование передовых технологий для обнаружения и предотвращения атак.
- Источник новости
- www.securitylab.ru