DriveSurge використовує атаки ClickFix і Fake Update драйв-бі за допомогою масштабних ударів
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
DriveSurge — це новий брокер початкового доступу, який компрометує легітимні вебсайти та впроваджує шкідливий JavaScript, щоб спрямувати відвідувачів через систему розподілу трафіку з відкритим кодом, відому як zTDS. Діяч потім подає підроблені сторінки оновлення браузера або підказки в стилі ClickFix, які доставляють шкідливе програмне забезпечення для користувачів macOS та Windows через оманливі завантаження або шкідливі команди PowerShell. Його інфраструктура включає тисячі .icu доменів, зареєстрованих через NiceNIC і розміщених на захищеній інфраструктурі. Кампанія має широкий масштаб і націлена на користувачів у різних браузерах та операційних системах.
Розслідування
Дослідники ідентифікували вісім різних технічних відбитків, пов’язаних з операцією, включаючи характерні JavaScript-файли з іменами типу t.js, t..js, та ext-b..js, разом із повторюваними характеристиками сервера, такими як nginx і специфічні хеші JARM. Картування інфраструктури засновувалося на пошуку доменів, піводах електронної пошти в WHOIS та аналізі скомпрометованих вебсайтів, включаючи jclforwarding.com. Команда також отримала URL-адреси доставки навантажень, командні та контрольні сервери та задокументувала поведінку викрадення буфера обміну, спрямовану конкретно на жертв macOS.
Пом’якшення
Організації повинні контролювати задокументовані шаблони впорскування JavaScript, наявність zTDS-пов’язаних файлів, таких як jsrepo з параметром rnd та вихідні з’єднання з відомими IP-адресами захищеного хостингу. Захисники повинні блокувати підозрілі .icu домени, зареєстровані через NiceNIC, які відповідають ідентифікованим відбиткам, та застосовувати суворі політики безпеки контенту до веб-ресурсів, доступних з Інтернету. Захист кінцевих точок також повинен бути здатний виявляти ланцюги команд PowerShell та Bash, закодовані в Base64, які використовуються для доставки.
Відповідь
Якщо виявлено діяльність DriveSurge, постраждалі веб-активи повинні бути негайно ізольовані, шкідливий JavaScript видалено, а будь-які скомпрометовані реєстрації доменів переглянуто або анульовано. Ідентифіковані домени та IP-адреси мають бути заблоковані на мережевому периметрі. Команди безпеки також повинні виконати криміналістичний аналіз на всіх системах, які виконували шкідливі команди завантаження, і скинути будь-які розкриті облікові дані. Відповідні індикатори повинні бути обмінені з галузевими ISAC та довіреними партнерами.
graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#ff9966 classDef operator fill:#ff9900 %% Вузли node_initial_access[“<b>Дія</b> – <b>T1189 Drive-by компрометація</b><br/><b>Опис</b>: Компрометація вебсайтів із високою репутацією та впровадження шкідливого JavaScript.<br/><b>Результат</b>: Браузер жертви завантажує шкідливий код.”] class node_initial_access action node_content_injection[“<b>Дія</b> – <b>T1659 Ін’єкція контенту</b><br/><b>Опис</b>: Впроваджені скрипти (t.js, ext-b, jsrepo) завантажують систему розподілу трафіку zTDS.”] class node_content_injection action tool_ztds[“<b>Інструмент</b> – zTDS система розподілу трафіку<br/><b>Призначення</b>: Доставка шкідливого JavaScript на скомпрометовані браузери.”] class tool_ztds tool malware_jsrepo[“<b>Шкідливе ПЗ</b> – jsrepo<br/><b>Роль</b>: Обфускований завантажувач, що розповсюджує URL корисного навантаження.”] class malware_jsrepo malware node_obfuscation[“<b>Дія</b> – Обфускація коду<br/><b>Техніки</b>: T1027.010, T1027.007, T1027.018<br/><b>Опис</b>: Base64-кодування, atob, конкатенація та прихований Unicode для маскування URL.”] class node_obfuscation action node_fake_updates[“<b>Дія</b> – <b>T1554 Фальшиві оновлення</b><br/><b>Опис</b>: Фейкові сторінки оновлення змушують завантажувати шкідливі файли.<br/><b>Пов’язано</b>: T1204.004 виконання користувачем.”] class node_fake_updates action node_copy_paste[“<b>Дія</b> – <b>T1204.004 Шкідливе копіювання та вставка</b><br/><b>Опис</b>: Користувач копіює команди з фальшивих сторінок і виконує їх у терміналі.”] class node_copy_paste action node_clickfix[“<b>Дія</b> – <b>T1684 ClickFix соціальна інженерія</b><br/><b>Опис</b>: Фейкові помилки підміняють буфер обміну командами Base64.<br/><b>Пов’язано</b>: T1115 викрадення буфера обміну.”] class node_clickfix action node_clipboard_hijack[“<b>Дія</b> – <b>T1115 Викрадення буфера обміну</b><br/><b>Опис</b>: Зловмисник перезаписує clipboard шкідливими командами.”] class node_clipboard_hijack action node_browser_hijack[“<b>Дія</b> – <b>T1185 Викрадення сесії браузера</b><br/><b>Опис</b>: Скомпрометовані сайти перенаправляють через zTDS на домени атакуючого.”] class node_browser_hijack action node_payload_delivery[“<b>Дія</b> – <b>T1133 Зовнішні віддалені сервіси / T1105 передача інструментів</b><br/><b>Опис</b>: Скрипти використовують curl/wget для завантаження вторинних macOS-пейлоадів.”] class node_payload_delivery action tool_curl[“<b>Інструмент</b> – curl<br/><b>Призначення</b>: Передача файлів із сервера атакуючого.”] class tool_curl tool tool_wget[“<b>Інструмент</b> – wget<br/><b>Призначення</b>: Передача файлів із сервера атакуючого.”] class tool_wget tool process_download[“<b>Процес</b> – скрипт завантаження<br/><b>Дія</b>: Виконує curl/wget для отримання macOS-бінарників.”] class process_download process node_c2[“<b>Дія</b> – <b>T1102.002 Двостороння веб-комунікація</b><br/><b>Опис</b>: Шкідливе ПЗ взаємодіє з C2 через HTTPS та ін’єкцію контенту.”] class node_c2 action node_ad_distribution[“<b>Дія</b> – <b>T1596.004 Система рекламної дистрибуції</b><br/><b>Опис</b>: Malvertising та CDN розповсюджують корисне навантаження.”] class node_ad_distribution action %% Зв’язки node_initial_access –>|використовує| node_content_injection node_content_injection –>|завантажує| tool_ztds node_content_injection –>|доставляє| malware_jsrepo malware_jsrepo –>|виконує| node_obfuscation node_obfuscation –>|активує| node_fake_updates node_fake_updates –>|тригерить| node_copy_paste node_copy_paste –>|призводить до| node_clickfix node_clickfix –>|використовує| node_clipboard_hijack node_clipboard_hijack –>|призводить до| node_browser_hijack node_browser_hijack –>|перенаправляє на| node_payload_delivery node_payload_delivery –>|використовує| tool_curl node_payload_delivery –>|використовує| tool_wget node_payload_delivery –>|доставляє| process_download process_download –>|виконує| node_c2 node_c2 –>|комунікує через| node_ad_distribution
Потік Атаки
Виявлення
Завантаження або вивантаження через Powershell (через cmdline)
Переглянути
Виклик підозрілих функцій Windows API з Powershell (через powershell)
Переглянути
Можлива маніпуляція з рядками, закодованими в Base64 [MacOS] (через cmdline)
Переглянути
Підозріле спроби виконання Curl [MacOS] (через cmdline)
Переглянути
IOC (HashSha256) для виявлення: Знайомтесь з DriveSurge: Новий актор загрози, що використовує ClickFix та підроблені атаки оновлення Drive-By на тисячах скомпрометованих сайтів
Переглянути
IOC (SourceIP) для виявлення: Знайомтесь з DriveSurge: Новий актор загрози, що використовує ClickFix та підроблені атаки оновлення Drive-By на тисячах скомпрометованих сайтів
Переглянути
IOC (DestinationIP) для виявлення: Знайомтесь з DriveSurge: Новий актор загрози, що використовує ClickFix та підроблені атаки оновлення Drive-By на тисячах скомпрометованих сайтів
Переглянути
Виявлення підозрілої команди ClickFix [Windows Powershell]
Переглянути
Виявлення впровадження шкідливого JavaScript DriveSurge [Вебсервер]
Переглянути
Виконання симуляції
Передумова: Передстартова перевірка телеметрії та базових даних повинна була пройдена.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для активації правила виявлення. Команди та наратив МУТЬ безпосередньо відображати ідентифіковані TTP та націлені на генерацію точної телеметрії, яку очікує логіка виявлення.
-
Опис атаки та команди
-
Етап 1 – Розгортання шкідливого навантаження:
Зловмисник завантажує JavaScript-файл з назвоюt.js(або ім’я на основі хешу) на скомпрометований вебсервер. Файл містить фрагмент HTML-скриття DriveSurge, що мовчки завантажує додаткові навантаження. -
Етап 2 – Запит жертви:
Браузер жертви (симульований зcurl) запитує шкідливий файл, створюючи запис у журналі, де URI запиту збігається з регулярним виразом Sigma. -
Етап 3 – Генерація сповіщення:
SIEM опрацьовує рядок журналу доступу, правило Sigma оцінюєімена файліві піднімає сповіщення.
-
-
Скрипт регресійного тестування
#!/usr/bin/env bash set -euo pipefail # --- Змінні ------------------------------------------------- WEB_ROOT="/var/www/html" MALICIOUS_NAME="t.js" MALICIOUS_PATH="${WEB_ROOT}/${MALICIOUS_NAME}" MALICIOUS_CONTENT='console.log("DriveSurge payload executed");' # --- Розгортання шкідливого JavaScript ------------------------- echo "${MALICIOUS_CONTENT}" | sudo tee "${MALICIOUS_PATH}" > /dev/null sudo chown www-data:www-data "${MALICIOUS_PATH}" sudo chmod 644 "${MALICIOUS_PATH}" # --- Дайте Apache час помітити новий файл -------------- sleep 2 # --- Симуляція запиту жертви (генерує телеметрію) ------------ curl -s -o /dev/null "http://localhost/${MALICIOUS_NAME}" # --- Додатково: виведіть недавно записаний рядок для ручної перевірки ------- echo "=== Недавній вхід у журнал Apache для верифікації ===" sudo tail -n 5 /var/log/apache2/access.log | grep "${MALICIOUS_NAME}" || echo "Запис у журналі не знайдено" -
Команди очищення
#!/usr/bin/env bash set -euo pipefail WEB_ROOT="/var/www/html" MALICIOUS_NAME="t.js" MALICIOUS_PATH="${WEB_ROOT}/${MALICIOUS_NAME}" # Видалення шкідливого файлу sudo rm -f "${MALICIOUS_PATH}" echo "Видалено ${MALICIOUS_PATH}"