FBI ділиться подробицями про здирника AvosLocker та порадами щодо захисту

Уряд США оновив список інструментів, які афілійовані програми-вимагачі AvosLocker використовують для атак, включивши до нього утиліти з відкритим кодом разом із спеціальним PowerShell і пакетними сценаріями.

У спільній пораді щодо кібербезпеки Федеральне бюро розслідувань (ФБР) і Агентство з кібербезпеки та безпеки інфраструктури (CISA) також поділяють правило YARA щодо виявлення зловмисного програмного забезпечення під виглядом законного інструменту моніторингу мережі.

Змішування програмного забезпечення з відкритим кодом і законного програмного забезпечення

Відомо, що афілійовані програми-вимагачі AvosLocker використовують легальне програмне забезпечення та код з відкритим вихідним кодом для віддаленого адміністрування системи, щоб компрометувати та викрадати дані з корпоративних мереж.

ФБР спостерігало за тим, як зловмисники використовували спеціальну оболонку PowerShell, веб-оболонки та пакетні сценарії для переміщення в мережі, збільшення своїх привілеїв і відключення агентів безпеки в системах.

В оновленому повідомленні агентства поділяють такі інструменти як частину арсеналу афілійованих програм-вимагачів AvosLocker:

• Splashtop Streamer, Tactical RMM, PuTTy, AnyDesk, PDQ Deploy, інструменти віддаленого адміністрування Atera Agent для бекдор-доступу
• Утиліти мережевого тунелювання з відкритим кодом: Ligolo, Chisel
• Системи емуляції супротивника Cobalt Strike і Sliver для командування й управління
• Лазанья і Мімікац для збору врожаю
• FileZilla та Rclone для викрадання даних

Додаткові загальнодоступні інструменти, виявлені під час атак AvosLocker, включають Notepad++, RDP Scanner і 7zip. Також були помічені законні рідні інструменти Windows, такі як PsExec і Nltest.

Іншим компонентом атак AvosLocker є зловмисне програмне забезпечення під назвою NetMonitor.exe, яке видає себе за законний процес і «виглядає як законний інструмент моніторингу мережі».

Однак NetMonitor — це інструмент постійного збереження, який надходить із мережі кожні п’ять хвилин і діє як зворотний проксі-сервер, що дозволяє суб’єктам загрози віддалено підключатися до зламаної мережі.

Використовуючи деталі розслідування «групи передових цифрових експертів», ФБР створило наведене нижче правило YARA для виявлення зловмисного програмного забезпечення NetMonitor у мережі.

rule NetMonitor 
{
  meta:
    author = "FBI"
    source = "FBI"
    sharing = "TLP:CLEAR"
    status = "RELEASED"
    description = "Yara rule to detect NetMonitor.exe"
    category = "MALWARE"
    creation_date = "2023-05-05"
  strings:
    $rc4key = {11 4b 8c dd 65 74 22 c3}
    $op0 = {c6 [3] 00 00 05 c6 [3] 00 00 07 83 [3] 00 00 05 0f 85 [4] 83 [3] 00 00 01 75 ?? 8b [2] 4c 8d [2] 4c 8d [3] 00 00 48 8d [3] 00 00 48 8d [3] 00 00 48 89 [3] 48 89 ?? e8}
  condition:
    uint16(0) == 0x5A4D
    and filesize < 50000
    and any of them
}

«Філії AvosLocker скомпрометували організації в багатьох секторах критичної інфраструктури в Сполучених Штатах, впливаючи на середовища Windows, Linux і VMware ESXi» — ФБР і CISA

Захист від програми-вимагача AvosLocker

CISA та ФБР рекомендують організаціям запровадити механізми контролю додатків, щоб контролювати виконання програмного забезпечення, включаючи дозволені програми, а також запобігати запуску портативних версій неавторизованих утиліт, особливо інструментів віддаленого доступу.

Частиною найкращих методів захисту від загроз є обмеження на використання служб віддаленого робочого столу, таких як RDP, шляхом обмеження кількості спроб входу та впровадження стійкої до фішингу багатофакторної автентифікації (MFA).

Застосування принципу найменших привілеїв також є частиною рекомендацій, і організації повинні вимкнути командний рядок, сценарії та використання PowerShell для користувачів, яким вони не потрібні для роботи.

Оновлення програмного забезпечення та коду до останньої версії, використання довших паролів, зберігання їх у хешованому форматі та їх перетворення, якщо логіни є спільними, а також сегментація мережі залишаються незмінними рекомендаціями експертів із безпеки.

Поточна порада з кібербезпеки доповнює інформацію, надану в попередньому, опублікованому в середині березня, у якому зазначено, що деякі атаки програм-вимагачів AvosLocker використовували вразливості на локальних серверах Microsoft Exchange.