Исследователи Cybernews раскрывают широкомасштабную кампанию по вымогательству, нацеленную на тысячи AWS S3 с использованием украденных ключей доступа.

Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.

Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.

После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.

Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).

При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).

Впервые эту технику применил Codefinger в кампании в декабре прошлого года.

Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.

Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.

Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.

Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.

Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.

У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.

Для обратно связи хакеры указывают awsdecrypt[@]techie.com.

Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.

В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.

Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.

Исследователи из Лаборатории Касперского сообщают об атаках китайской IronHusky на российские и монгольские правительственные учреждения с использованием обновленного RAT MysterySnail.

Новый имплант был найден исследователями в ходе расследования недавних атак, когда злоумышленники развертывали троян с помощью вредоносного скрипта MMC, замаскированного под документ Word, который загружал полезные нагрузки второго этапа и сохранялся на скомпрометированных системах.

Одной из вредоносных полезных нагрузок был неизвестный промежуточный бэкдор, который помогал передавать файлы между серверами С2 и взломанными устройствами, запускать командные оболочки, создавать новые процессы, удалять файлы и многое др.

По данным телеметрии, эти файлы оставляют следы вредоносного ПО MysterySnail RAT, импланта, который ЛК описала еще в 2021 году.

В наблюдаемых случаях заражений MysterySnail RAT был настроен на сохранение на скомпрометированных машинах в качестве службы.

Примечательно, что вскоре после того, как удалось заблокировать недавние вторжения, связанные с MysterySnail RAT, злоумышленники продолжили атаки, задействуя модернизированную и более лайтовую версию, состоящую из одного компонента, - MysteryMonoSnail.

Обновленная вредоносная ПО поддерживает десятки команд, что позволяет злоумышленникам управлять службами на скомпрометированном устройстве, выполнять команды оболочки, запускать и завершать процессы, а также управлять файлами и выполнять другие действия.

Последняя версия бэкдора похожа на оригинальный MysterySnail RAT, который ЛК впервые обнаружила в конце августа 2021 года в ходе широкомасштабных шпионских атак на ИТ-компании, военных подрядчиков и дипучреждения в России и Монголии.

В то время было замечено, что хакерская группа IronHusky развертывала вредоносное ПО на системах, взломанных с помощью 0-day эксплойтов, нацеленных на уязвимость драйвера ядра Windows Win32k (CVE-2021-40449).

При этом китайская APT была впервые обнаружена исследователями в 2017 году при расследовании кампании, нацеленной на российские и монгольские правительственные структуры с конечной целью сбора разведданных о российско-монгольских военных переговорах.

Год спустя ЛК также заметила, что хакеры эксплуатируют уязвимость повреждения памяти Microsoft Office (CVE-2017-11882) для распространения RAT, которые обычно используются китайскими хакерскими группами, включая PoisonIvy и PlugX.

Индикаторы компрометации и дополнительные технические подробности атак IronHusky с использованием MysterySnail RAT - в отчете.

Соларам удалось дотянуться до инфраструктуры проукраинской хакерской группы Shedding Zmiy, где их ожидала любопытная находка.

На одном из их C2-серверов в открытом доступе оказалась веб-панель, относящаяся к вредоносному ПО Bulldog Backdoor.

Bulldog Backdoor представляет собой кастомный кроссплатформенный имплант, написанный на языке Golang, имеет широкую функциональность, которая позволяет злоумышленникам выполнять различные задачи в инфраструктуре жертвы.

Впервые о ге стало известно как минимум в 2024 году. Данный вредонос уже фигурировал в предыдущих отчетах RT-Solar, посвященных инструментарию Shedding Zmiy (1 и 2), а Positive Technologies делали подробный разбор ранних версий этого ВПО.

Обнаруженная Соларами панель управления представляет собой веб-приложение, написанное на React.js (frontend-часть) и предоставляет операторам интерфейс для взаимодействия с уже развернутыми имплантами, а также содержит функциональность для генерации новых.

Исследователи считают данную панель ключевым элементом инфраструктуры группировки, поскольку она агрегирует собранные в ходе вредоносных кампаний данные, служит интерфейсом управления активными операциями и обеспечивает централизованный контроль над всей сетью зараженных систем.

Среди основных возможностей панели:

- генерация новых имплантов;

- управление активными сессиями, установленными во внутренней инфраструктуре жертвы;

- передача команд развернутым имплантам;

- сбор статистики - количество активных, завершенных и потерянных сессий, а также подробности по каждой из них;

- интерактивная карта инфраструктуры жертвы, обновляющаяся в реальном времени;

- система сущностей с многоуровневой абстракцией;

- автоматизированный перебор паролей, выполняемый на основе уже собранных учётных данных с зараженных хостов;

- возможность создания заметок для целей и связанных с ними хостов.

Солары загрузили весь исходный код frontend-части веб-панели (v0.1.15) и смогли провести более детальный технический анализ ее структуры и механизмов, а также понять подходы Shedding Zmiy к созданию инструмента управления вредоносным ПО.

Все подробности - в отчете.

Исследователи F6 обнаружили новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков.

Главное отличие: вместо перехвата NFC-данных карты жертвы злоумышленники создают на его устройстве клон собственной карты.

Предпринимая попытки зачислить на свой счёт через банкомат, вся сумма отправляется на карту дропа.

Аналитики F6 отмечают стремительное развитие вредоносного софта, способного через NFC-модули дистанционно перехватывать и передавать данные банковских карт.

Первая атака с применением NFCGate в России произошла в августе 2024 года, а уже по итогам первого квартала 2025 года общий ущерб от использования вредоносных версий этого софта составил 432 млн рублей.

Каждый день с января по март преступники совершали в среднем по 40 успешных атак.

Средняя сумма ущерба от действий злоумышленников, использующих NFCGate, составила 120 тыс. рублей.

В феврале 2025 года F6 зафиксировала появление принципиально новой сборки NFCGate, которая используется в т.н. «обратной» схеме.

Разработчики вредоносного ПО адаптировали приложение под готовый сервис для мошеннических колл-центров.

При использовании первых версий NFCGate дропы подходили к банкомату, чтобы снять деньги жертвы.

Обратная версия NFCGate пропускает этот шаг: мошенники под разными предлогами направляют жертву к банкомату, чтобы зачислить деньги себе, но на самом деле – преступникам.

Как и прежде, атака на пользователей банковских карт с использованием обратного NFCGate проводится в два этапа. Вначале преступники действуют по стандартному для схемы с NFCGate сценарию.

Используя приёмы социальной инженерии, потенциальную жертву пытаются убедить в необходимости установки вредоносного APK-файла на устройство под видом полезной программы.

Злоумышленники объясняют, что это требуется, например, для «защиты» банковского счёта или получения более выгодных условий обслуживания в виде вклада с повышенной процентной ставкой.

Кроме того, в марте 2025 года мошенники стали предлагать потенциальным жертвам внести сбережения на счёт цифрового рубля.

Изученные аналитиками компании F6 образцы ВПО маскировались под приложения финансового регулятора.

После установки приложения в качестве платёжной системы по умолчанию смартфон незаметно для владельца устанавливает контакт с устройством злоумышленников. Затем на смартфон жертвы отправляются NFC-данные банковской карты мошенников и происходит её эмуляция.

На втором этапе атаки пользователя убеждают отправиться к банкомату: якобы для того, чтобы зачислить сбережения на свой счёт. Это похоже на распространённый сценарий мошенничества с «безопасным счётом».

Разница в том, что пользователя не просят назвать код из СМС и не пытаются выведать другую чувствительную информацию, чтобы не вызвать подозрений в обмане.

Напротив, пользователю сообщают «новый» ПИН-код якобы от его же карты.

Когда жертва приложит своё устройство к NFC-датчику банкомата, произойдёт авторизация карты дропа.

Злоумышленники используют одну карту как минимум для трёх-четырёх атак.

Другие особенности новой схемы и рекомендации - в отчете.

Исследователи Trend Micro обнаружили новую APT под названием Earth Kurma, которая в рамках сложной кампании с июня 2024 года нацелена на государственный и телеком секторы в Юго-Восточной Азии (Филиппины, Вьетнам, Таиланд и Малайзия).

По данным Trend Micro, в ходе атак хакеры задействовали вредоносное ПО, руткиты и облачные сервисы хранения данных для эксфильтрации.

Наблюдаемая кампания несет высокие риски в виду целенаправленного шпионажа, кражи учетных данных, четкого закрепления с помощью руткитов на уровне ядра и извлечения данных через доверенные облачные платформы.

Действия злоумышленников активизировались в ноябре 2020 года, при этом атаки в основном осуществлялись с использованием таких сервисов, как Dropbox и Microsoft OneDrive, для кражи конфиденциальных данных с использованием таких инструментов, как TESDAT и SIMPOBOXSPY.

Два других заслуживающих внимания семейства вредоносных ПО в арсенале APT - такие руткиты, как KRNRAT и Moriya, последний из которых ранее был замечен в атаках на известные организации в Азии и Африке в рамках шпионской кампании TunnelSnake.

Trend Micro также полагает, что SIMPOBOXSPY и скрипт эксфильтрации имеют общие черты с другой APT-группой, известной как ToddyCat. Однако окончательная атрибуция остается неубедительной.

В настоящее время неизвестно, как злоумышленники получают первоначальный доступ к целевым средам.

Однако затем первоначальный плацдарм используется для сканирования и бокового перемещения с использованием инструментов: NBTSCAN, Ladon, FRPC, WMIHACKER и ICMPinger.

Также используется кейлоггер, называемый KMLOG, для сбора учетных данных. При этом использование фреймворка Ladon с открытым исходным кодом ранее приписывалось связанной с Китаем хакерской группе TA428 (Vicious Panda).

Устойчивость на хостах достигается тремя различными штаммами загрузчиков - DUNLOADER, TESDAT и DMLOADER, которые способны загружать полезные нагрузки следующего этапа в память и выполнять их.

Они включат Cobalt Strike Beacons, руткиты KRNRAT и Moriya, а также ПО для извлечения данных.

Отличительной чертой этих атак является использование методов LotL для установки руткитов, при которых хакеры используют легальные системные инструменты и функции, в данном случае syssetup.dll, а не внедряют легко обнаруживаемое вредоносное ПО.

Moriya разработан для проверки входящих TCP-пакетов на наличие вредоносной нагрузки и внедрения шелл-кода в процесс svchost.exe.

В свою очередь, KRNRAT представляет собой объединение пяти различных проектов с открытым исходным кодом с такими возможностями, как манипулирование процессами, сокрытие файлов, выполнение шелл-кода, сокрытие трафика и связь с C2.

KRNRAT, как и Moriya, также предназначен для загрузки агента пользовательского режима руткита и внедрения его в svchost.exe.

Агент пользовательского режима служит в качестве бэкдора для извлечения последующей полезной нагрузки с сервера C2.

Перед тем как извлечь файлы, ряд команд, выполняемых загрузчиком TESDAT, приводили к сбору файлов документов со следующими расширениями: pdf, doc, docx, xls, xlsx, ppt и pptx.

Сначала документы помещаются вов вновь создаваемую папку с именем tmp, которая затем архивируется с помощью WinRAR с определенным паролем.

Одним из специальных инструментов для эксфильтрации данных выступает SIMPOBOXSPY, который способен загружать архив RAR в Dropbox с помощью специального токена доступа.

Согласно отчету Лаборатории Касперского от октября 2023 года, универсальный загрузчик DropBox, вероятно, используется не только ToddyCat.

ODRIZ, другая ПО, используемая для той же цели, загружает собранную информацию в OneDrive, указывая токен обновления в качестве входного параметра.

Как отмечают исследователи, Earth Kurma проявляет себя достаточно активным злоумышленником, продолжая атаковать страны Юго-Восточной Азии, обладая способностью адаптироваться к среде жертвы и обеспечивать уверенное скрытное присутствие.