SOC Prime Bias: Критичний

19 Nov 2025 17:21
newspaper icon Hive Pro

Тактики групи APT41 проти емуляцій програм-вимагачів у AttackIQ Ransom Tales

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Тактики групи APT41 проти емуляцій програм-вимагачів у AttackIQ Ransom Tales
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


РЕЗЮМЕ

Стаття описує п’ятий том серії Ransom Tales від AttackIQ, яка відтворює тактики, техніки та процедури трьох відомих родин програм-здирників, — REvil, DarkSide та BlackMatter, — у контрольованих лабораторних умовах. Кожна емуляція охоплює етапи виконання, стійкості, виявлення, уникнення захисту і впливу, дозволяючи захисникам вправлятися та перевіряти роботу виявлення та реагування. Сценарії Ransom Tales нагадують уроки з кампанії кібер-шпіонажу APT41, одночасно хронікуючи компрометації ланцюгів поставок та розвиток екосистеми “вимагач як послуга” для сучасних синіх команд та аналітиків.

Аналіз атаки APT41

Команда досліджень супротивника AttackIQ проаналізувала публічні звіти про загрози, зразки шкідливого програмного забезпечення та телеметрію для створення реалістичних графів атак для кожної родини програм-здирників, схожих на ті, які аналітики реконструювали для групової діяльності APT41. Вони картографували спостережувані кроки на техніки MITRE ATT&CK і розробили потоки виконання, які отримують корисні навантаження, встановлюють стійкість, перераховують хости та шифрують дані. Вони також змоделювали, як група APT41 здійснила операцію кібер-шпіонажу проти компанії США, щоб проілюструвати загальну торгівлю.

Мітигація

Рекомендації щодо обмеження ризику наголошують на жорсткому мінімальному доступі, вимкненні непотрібних сервісів та швидкому патчуванні інфраструктури, включаючи вразливості Atlassian Confluence, Apache Struts та GoAhead RCE, а також вади Log4j, такі як CVE-2021-44228, CVE-2022-26134, CVE-2017-9805, та CVE-2017-17562. Команди мають обмежити віддалений доступ до робочого столу, контролювати зміни в реєстрі та завданнях і перевіряти резервні копії.

Реагування

Коли активність виявляється, реагуючі мають ізолювати постраждалі системи, зберегти волатильну пам’ять, зібрати дерева реєстру і зберегти джерела логів для перегляду. Вони повинні перевірити тіньові копії, заплановані завдання та ключі реєстру на наявність ознак технік, які використовує група APT41, а потім відновити дані з резервних копій. Команди мають шукати бічний рух, інформувати зацікавлених сторін і збагатити інциденти інформацією про загрози.

mermaid graph TB %% Класи визначень classDef action fill:#99ccff classDef builtin fill:#cccccc %% Вузли – Етапи атаки node_initial_access[“<b>Початковий доступ</b> – <b>T1190 Експлуатація публічно-орієнтованого додатку</b><br />Техніки: CVE-2021-4428 (Log4j), CVE-2022-26134 (Confluence), CVE-2017-9805 (Struts), CVE-2017-17562 (GoAhead)”] class node_initial_access action node_execution[“<b>Виконання</b> – <b>T1127.001 Довірені утиліти розробника Proxy Execution</b><br />Інструмент: msbuild.exe виконує зловмисну XML корисну навантаження”] class node_execution action node_persistence[“<b>Стійкість та збільшення привілеїв</b> – <b>T1053 Заплановане завдання/робота</b><br />Створено заплановане завдання SYSTEM для постійного запуску msbuild”] class node_persistence action node_defev1[“<b>Уникнення захисту</b> – <b>T1574.002 Завантаження DLL з побічним навантаженням</b><br />Зловживали підписаним VipreAV виконуваним файлом (vetysafe.exe) для завантаження зловмисного sbamres.dll”] class node_defev1 action node_credential[“<b>Доступ до облікових даних</b> – <b>T1003.006 Зняття облікових даних ОС DCSync</b><br />Зібрано геші паролів адміністратора домену через DCSync”] class node_credential action node_discovery[“<b>Виявлення</b> – <b>T1046 Виявлення мережевих сервісів</b> & <b>T1082 Виявлення системної інформації</b><br />Сканування внутрішніх сервісів та збирання інформації про хости”] class node_discovery action node_c2[“<b>Управління та контроль</b> – <b>T1102 Веб-служба</b><br />Двонаправлений веб-трафік використовується для ексфільтрації політичних документів”] class node_c2 action node_defev2[“<b>Уникнення захисту</b> – <b>T1027 Обфускація файлів або інформації</b><br />Утиліта Imjpuexc приховує код і виконує динамічну API-резолюцію”] class node_defev2 action node_exfil[“<b>Ексфільтрація</b> – <b>T1048 Ексфільтрація через альтернативний протокол</b><br />Дані передаються через той самий веб-канал з використанням альтернативного протоколу”] class node_exfil action %% Вузли – Інструменти інструмент_msbuild[“<b>Інструмент</b> – <b>Назва</b>: msbuild.exe<br /><b>Опис</b>: Microsoft Build Engine, використаний для компіляції та виконання XML”] class tool_msbuild builtin інструмент_vetysafe[“<b>Інструмент</b> – <b>Назва</b>: vetysafe.exe (VipreAV)<br /><b>Опис</b>: Підписаний AV виконуваний файл, використаний для завантаження DLL з побічним навантаженням”] class tool_vetysafe builtin інструмент_scheduledtask[“<b>Інструмент</b> – <b>Назва</b>: schtasks.exe<br /><b>Опис</b>: Утиліта Windows для створення запланованих завдань”] class tool_scheduledtask builtin інструмент_imjpuexc[“<b>Інструмент</b> – <b>Назва</b>: Imjpuexc<br /><b>Опис</b>: Утиліта, що обфускирує корисні навантаження та вирішує API під час виконання”] class tool_imjpuexc builtin %% З’єднання – Потік атаки node_initial_access u002du002d>|експлуатує| node_execution node_execution u002du002d>|використовує| tool_msbuild node_execution u002du002d>|створює| node_persistence node_persistence u002du002d>|використовує| tool_scheduledtask node_persistence u002du002d>|призводить до| node_defev1 node_defev1 u002du002d>|використовує| tool_vetysafe node_defev1 u002du002d>|вмикає| node_credential node_credential u002du002d>|надає дані для| node_discovery node_discovery u002du002d>|підтримує| node_c2 node_c2 u002du002d>|спілкується через| tool_imjpuexc node_defev2 u002du002d>|підтримує| node_c2 node_c2 u002du002d>|експортує| node_exfil

Потік атаки

Виявлення

DCSync-атака APT41 для збирання облікових даних [Підключення до мережі Windows]

Правила SOC Prime AI
18 листопада 2025

Переглянути

Стійкість APT41 через MSBuild та заплановані завдання [Створення процесу Windows]

Правила SOC Prime AI
18 листопада 2025

Переглянути

Індикатори компрометації (DestinationIP) для виявлення: Кампанія кібер-шпіонажу APT41 націлена на політичні установи США

Правила SOC Prime AI
18 листопада 2025

Переглянути

Індикатори компрометації (HashSha1) для виявлення: Кампанія кібер-шпіонажу APT41 націлена на політичні установи США

Правила SOC Prime
18 листопада 2025

Переглянути

Індикатори компрометації (HashSha256) для виявлення: Кампанія кібер-шпіонажу APT41 націлена на політичні установи США

Правила SOC Prime AI
18 листопада 2025

Переглянути

Індикатори компрометації (HashMd5) для виявлення: Кампанія кібер-шпіонажу APT41 націлена на політичні установи США

Правила SOC Prime AI
18 листопада 2025

Переглянути

Переглянути всі (8)>

Симуляції

Виконання симуляції

Необхідна умова: перевірка телеметрії та базових показників повинна пройдено.

Аргументація: Цей розділ описує точне виконання техніки противника (TTP), призначеної для активації правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP і прагнути генерувати точну телеметрію, очікувану логікою виявлення.

  • Розповідь та команди атаки:
    Супротивник, імітуючи APT41, спочатку компілює шкідливу C# бекдор використовуючиmsbuild.exeдля обходу білого списку додатків. Компіляція корисного навантаження потім підготовлена як заплановане завдання з використаннямschtasks.exeдля досягнення стійкості. Обидва виконувані файли виконуються з нестандартних місць для імітування реалістичної поведінки атакуючого, зберігаючи при цьому умови зображення-ім’я правила.

  • Скрипт регресійного тесту:

  •  

    # Тест стійкості в стилі APT41 - PowerShell
# -------------------------------------------------
# 1. Підготовка шкідливого корисного навантаження C#
$source = @"
using System;
using System.Diagnostics;
public class Backdoor {
    public static void Main() {
        Process.Start(new ProcessStartInfo {
            FileName = "cmd.exe",
            Arguments = "/c echo Compromised > C:Temppwned.txt",
            CreateNoWindow = true,
            UseShellExecute = false
        });
    }
}
"@
$srcPath = "$env:TEMPbackdoor.cs"
$projPath = "$env:TEMPbackdoor.csproj"
$dllPath = "$env:TEMPbackdoor.dll"
$srcPath | Out-File -Encoding ASCII -Force
$projContent = @"
<Project Sdk=`"Microsoft.NET.Sdk`">
  <PropertyGroup>
    <TargetFramework>net48</TargetFramework>
    <OutputType>Library</OutputType>
  </PropertyGroup>
</Project>
"@
$projPath | Out-File -Encoding ASCII -Force
# 2. Компіляція шкідливого DLL з використанням msbuild (нестандартний шлях)
$msbuildPath = "$env:ProgramFilesMicrosoft Visual Studio2022CommunityMSBuildCurrentBinMSBuild.exe"
& $msbuildPath $projPath /p:OutDir=$env:TEMP /t:Build /p:Configuration=Release
# 3. Створення запланованого завдання для виконання DLL через powershell
$taskName = "SystemUpdater"
$taskCmd = "powershell -ExecutionPolicy Bypass -File `"$dllPath`""
$schPath = "$env:SystemRootSystem32schtasks.exe"
& $schPath /Create /SC ONLOGON /TN $taskName /TR $taskCmd /RL HIGHEST /F
# 4. Негайний запуск завдання
& $schPath /Run /TN $taskName

  • Команди очищення:

    # Видалити заплановане завдання
$schPath = "$env:SystemRootSystem32schtasks.exe"
& $schPath /Delete /TN "SystemUpdater" /F

# Видалити файли корисного навантаження
Remove-Item -Path "$env:TEMPbackdoor.cs","$env:TEMPbackdoor.csproj","$env:TEMPbackdoor.dll" -Force

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно