SOC Prime Bias: Критичний

10 Dec 2025 19:28
newspaper icon Acronis

Атаки викупного програмного забезпечення Makop на індійські бізнеси: доставка GuLoader та підвищення привілеїв

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Атаки викупного програмного забезпечення Makop на індійські бізнеси: доставка GuLoader та підвищення привілеїв
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Шкідливе програмне забезпечення Makop, різновид із родини Phobos, атакує організації, використовуючи відкриті сервіси протоколу віддаленого робочого столу (Remote Desktop Protocol, RDP) і використовуючи готові утиліти для виявлення, переміщення в межах мережі та підвищення привілеїв. Кампанія включає нові елементи, такі як завантажувач GuLoader і кілька експлойтів для локального підвищення привілеїв. Зловмисники розгортають бінарні файли програмного забезпечення шифрувальника до каталогів користувача під оманливими іменами файлів. Загроза в першу чергу націлена на індійські підприємства, а активність також спостерігається в Бразилії та Німеччині.

Дослідження

Підрозділ загроз Acronis дослідив останні кейси Makop і схематизував повторюваний ланцюг атак, що починається зі спроб грубого підбору паролів RDP, потім здійснюється сканування мережі, витягування облікових даних і виконання кількох експлойтів підвищення привілеїв, керованих CVE. Було помічено, що GuLoader доставляє наступні шкідливі навантаження, такі як AgentTesla і FormBook. Дослідники також задокументували інструменти вбивства AV, вразливі драйвери та спеціальні деінсталятори, що використовуються для нейтралізації засобів безпеки.

Захист

Рекомендовані заходи захисту включають застосування багатофакторної аутентифікації на RDP, усунення будь-яких вразливих точок доступу RDP в Інтернеті, встановлення патчів для всіх згаданих CVE, моніторинг відомих завантажувальних бінарних файлів та утиліт-убивць антивірусів, а також використання засобів виявлення на кінцевих точках для блокування підозрілих сценаріїв виконання. Оновлення сигнатур Windows Defender та обмеження використання непідписаних або ненадійних драйверів додатково знижують вразливість до спостережуваних технік.

Відповідь

Після виявлення активності негайно ізолюйте уражений хост, заверште процеси GuLoader або підозрілих завантажувачів, а також зберіть летучу пам’ять для аналізу. Проведіть комплексний огляд потенційних витоків облікових даних, заблокуйте відомі шкідливі хеші файлів і імена файлів та виправте експлойтовані CVE. Де можливо, відновіть зашифровані дані з перевірених резервних копій і повідомте відповідні команди реагування на інциденти та управління.

mermaid graph TB %% Class Definitions Section classDef action fill:#99ccff %% Node definitions initial_access_rdp[“<b>Дія</b> – <b>T1021.001 Віддалені сервіси: RDP</b><br /><b>Опис</b>: Грубе форсування входу в RDP використовуючи NLBrute”] class initial_access_rdp action defense_evasion_impair[“<b>Дія</b> – <b>T1562 Імпарменти захисту</b><br /><b>Опис</b>: Вимкнення Windows Defender через disable-defender.exe та експлуатація вразливих драйверів”] class defense_evasion_impair action priv_esc_exploit[“<b>Дія</b> – <b>T1068 Експлуатація для підвищення привілеїв</b><br /><b>Опис</b>: Використання CVE-2017-0213, CVE-2018-8639, CVE-2021-41379, CVE-2016-0099”] class priv_esc_exploit action discovery_remote[“<b>Дія</b> – <b>T1018 Віддалене системне виявлення</b><br /><b>Опис</b>: Сканування внутрішньої мережі за допомогою NetScan, Advanced IP Scanner, Masscan”] class discovery_remote action lateral_movement_rdp[“<b>Дія</b> – <b>T1021 Віддалені сервіси</b><br /><b>Опис</b>: Використання викрадених облікових даних для RDP та бокове переміщення SMB”] class lateral_movement_rdp action credential_dumping[“<b>Дія</b> – <b>T1003 Витік облікових даних ОС</b><br /><b>Опис</b>: Витягнення облікових даних за допомогою Mimikatz, LaZagne, NetPass”] class credential_dumping action execution_vbs[“<b>Дія</b> – <b>T1059.005 Visual Basic</b><br /><b>Опис</b>: Запуск VBS сценарію, розгорнутого GuLoader”] class execution_vbs action impact_encrypt[“<b>Дія</b> – <b>T1486 Дані зашифровані для впливу</b><br /><b>Опис</b>: Шифрування файлів за допомогою шифрувальника Makop”] class impact_encrypt action %% З’єднання, які показують потік атак initial_access_rdp u002du002d>|веде до| defense_evasion_impair defense_evasion_impair u002du002d>|веде до| priv_esc_exploit priv_esc_exploit u002du002d>|веде до| discovery_remote discovery_remote u002du002d>|веде до| lateral_movement_rdp lateral_movement_rdp u002du002d>|веде до| credential_dumping credential_dumping u002du002d>|веде до| execution_vbs execution_vbs u002du002d>|веде до| impact_encrypt

Потік атаки

Виконання симуляції

Передумова: Тест на телеметрію та базовий перевірочний контроль мають бути пройдені.

Обґрунтування: У цьому розділі описується точне виконання техніки супротивника (TTP), призначеної для активації правила виявлення. Команди та наратив ПОВИННІ напевно відображати вказані TTP і мають мету генерувати саме ту телеметрію, яку очікує логіка виявлення.

  • Наратив атаки та команди:

    1. Підготовка: Зловмисник здобуває шкідливу версію ThrottleStop.sys, яка інструментована для експлуатації CVE‑2025‑7771 для підвищення привілеїв.
    2. Розгортання: Драйвер копіюється до системного каталогу драйверів (C:WindowsSystem32drivers).
    3. Виконання: Використовуючи sc.exe, зловмисник створює та запускає сервіс, який завантажує шкідливий драйвер, підвищуючи процес до привілеїв SYSTEM.
    4. Після ескалації: З підвищеним токеном зловмисник може імітувати високопривілейовані акаунти (T1134.005), але цей крок знаходиться поза межами даного правила.

  • Скрипт тесту на регресію:

    # ----------------------------------------------------------------
# Симуляція експлуатації ThrottleStop.sys (CVE-2025-7771)
# ----------------------------------------------------------------
$driverPath = "$env:SystemRootSystem32driversThrottleStop.sys"

# 1. Скидання шкідливого драйвера (тут ми використовуємо копію-заповнювач)
Write-Host "[*] Копіювання шкідливого ThrottleStop.sys до $driverPath"
# У реальному тесті замініть джерело на справжній шкідливий бінарний файл
Copy-Item -Path ".malicious_ThrottleStop.sys" -Destination $driverPath -Force

# 2. Реєстрація драйвера як сервісу ядра
Write-Host "[*] Створення сервісу для драйвера"
sc.exe create ThrottleStopSvc binPath= "$driverPath" type= kernel start= demand | Out-Null

# 3. Запуск драйвера (тригерування завантаження зображень Sysmon)
Write-Host "[*] Запуск сервісу драйвера"
sc.exe start ThrottleStopSvc | Out-Null

Write-Host "[+] Драйвер завантажено – має викликати правило виявлення."
# ----------------------------------------------------------------

  • Команди очищення:

    # Зупинити та видалити шкідливий сервіс драйвера
sc.exe stop ThrottleStopSvc | Out-Null
sc.exe delete ThrottleStopSvc | Out-Null

# Видалити файл драйвера
Remove-Item -Path "$env:SystemRootSystem32driversThrottleStop.sys" -Force

Write-Host "[*] Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно