Программа-вымогатель LockFile использует атаку PetitPotam для захвата доменов Windows

45
Новая атака DFSCoerce NTLM Relay позволяет захватить домен Windows

Последнее обновление 09.01.2023 — QGames

По крайней мере, один злоумышленник начал использовать недавно обнаруженный метод ретрансляционной атаки PetitPotam NTLM, чтобы захватить домен Windows в различных сетях по всему миру.

За атаками, по-видимому, стоит новая банда вымогателей под названием LockFile, которая впервые была замечена в июле и демонстрирует некоторое сходство и отсылки к другим группам в бизнесе.

Использование PetitPotam для доступа к DC

Атаки LockFile были зарегистрированы в основном в США и Азии, их жертвами стали организации из следующих секторов: финансовые услуги, производство, машиностроение, юриспруденция, бизнес-услуги, путешествия и туризм.

Исследователи в области безопасности Symantec, подразделения Broadcom, заявили, что первоначальный доступ к сети осуществляется через серверы Microsoft Exchange, но точный метод пока неизвестен.

Затем злоумышленник захватывает контроллер домена организации, используя новый метод PetitPotam, который принудительно выполняет аутентификацию на удаленном NTLM-реле под управлением LockFile.

Обнаруженный исследователем безопасности Жилем Лионелем в июле, PetitPotam имеет несколько вариантов, которые Microsoft пытается заблокировать. На данный момент официальные средства защиты и обновления не полностью блокируют вектор атаки PetitPotam .

По теме:  6 распространенных проблем с установкой Auto-GPT и способы их решения

Злоумышленник LockFile, похоже, полагается на общедоступный код для использования исходного варианта PetitPotam (отслеживается как CVE-2021-36942).

После того, как злоумышленники успешно захватят контроллер домена, они фактически получают контроль над всем доменом Windows и могут выполнять любую команду по своему усмотрению.

LockBit сходство

Symantec отмечает сегодня в своем блоге, что записка о выкупе от программы-вымогателя LockFile очень похожа на записку, использованную группой вымогателей LockBit.

Кроме того, похоже, что новая банда также делает не очень тонкую ссылку на банду Конти в контактном адресе электронной почты, который они оставляют для жертвы: contact @ contipauper [.] Com .

Если бы мы размышляли о выборе домена электронной почты, мы могли бы сказать, что LockFile выглядит как проект недовольного филиала Conti, который слил сценарий атаки банды.

Пробелы в цепочке атак
Symantec проанализировала цепочку атак LockFile и отметила, что хакеры обычно проводят в сети не менее нескольких дней, прежде чем взорвать вредоносное ПО для шифрования файлов, типичное для такого рода атак.

Исследователи говорят, что при компрометации сервера Exchange жертвы злоумышленник запускает команду PowerShell, которая загружает файл из удаленного места.

На последнем этапе атаки, за 20–30 минут до развертывания программы-вымогателя, злоумышленник переходит к контроллеру домена, устанавливая на скомпрометированный сервер Exchange эксплойт PetitPotam и два файла:

  • active_desktop_render.dll
  • active_desktop_launcher.exe (законная программа запуска KuGou Active Desktop)

Законная программа запуска KuGou Active Desktop используется для выполнения атаки с перехватом DLL для загрузки вредоносной DLL, чтобы избежать обнаружения программным обеспечением безопасности.

В Исследователи говорят , что при загрузке с помощью ракеты — носителя, то DLL пытается загрузить и расшифровать файл с именем «desktop.ini» , который содержит шеллкода. Symantec не получил файл для анализа, но сообщает, что успешная операция заканчивается запуском шеллкода.

«Однако зашифрованный шелл-код, скорее всего, активирует файл efspotato.exe, который использует PetitPotam» — Symantec

Последний шаг — скопировать полезную нагрузку программы-вымогателя LockFile на локальный контроллер домена и передать ее по сети с помощью сценария и исполняемых файлов, которые запускаются на клиентских узлах сразу после аутентификации на сервере.

Symantec считает, что LockFile является новым участником программ-вымогателей и может иметь связь с другими игроками в бизнесе, известными в сообществе или вышедшими на пенсию.

LockFile все еще активен и был замечен в сети жертвы совсем недавно.