SOC Prime Bias: Високий

17 Dec 2025 13:49 UTC

Операції FunkSec RaaS: Поєднання хактивізму та кіберзлочинності

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Операції FunkSec RaaS: Поєднання хактивізму та кіберзлочинності
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

FunkSec – це група з надання послуг викупного програмного забезпечення, яка виникла наприкінці 2024 року, повідомляючи про багатьох жертв і вимагаючи невеликі викупи. Її зловмисне програмне забезпечення на базі Rust шифрує дані за допомогою шифру ChaCha20 та додає розширення .funksec до уражених файлів. Окрім викупного ПЗ, група розповсюджує додаткові інструменти для DDoS, віддаленого доступу до робочого столу та генерації облікових даних. FunkSec поєднує активістську риторику з фінансовим вимаганням.

Розслідування

Аналіз описує, як оператори використовують великі мовні моделі для розробки коду та комунікацій, використовують PowerShell для підвищення привілеїв та знешкодження засобів безпеки перед процесом шифрування. У ньому наводяться завершені процеси та служби, викладається робочий процес шифрування та резюмується структура повідомлення про викуп, включаючи адресу для оплати Bitcoin. Додаткові компоненти—FDDOS, JQRAXY_HVNC та funkgenerate—документовані як частина ширшого набору інструментів.

Захист

Захисники повинні посилити політики виконання PowerShell, стежити за спробами відключення Windows Defender або видалення тіньових копій і запобігати запуску відомо шкідливих процесів. Виконання симуляцій FunkSec у платформах перевірки безпеки може допомогти виявити прогалини в контролі. Підтримуйте контенту виявлення в актуальному стані для зазначених завершень процесів та служб для забезпечення більш ранньої ідентифікації.

Відповідь

Якщо активність виявлена, ізолюйте уражений хост, підтвердіть розширення .funksec та зберіть вольатильні докази. Запустіть сценарії реагування на інцидент, відновіть з резервних копій та проведіть полювання за індикаторами, такими як специфічні команди PowerShell та текст повідомлення про викуп. Використовуйте розвідку загроз для моніторингу та кореляції пов’язаної інфраструктури.

Потік атаки

Виявлення

Можлива підготовка до шифрування PowerShell (RunAs + Інгібіція відновлення) (через PowerShell)

Команда SOC Prime
17 грудня 2025

Можливе встановлення користувача або групи (через cmdline)

Команда SOC Prime
17 грудня 2025

Можлива активність ухилення від захисту підозрілим використанням Wevtutil (через cmdline)

Команда SOC Prime
17 грудня 2025

Підозрілі зміни в налаштуваннях Windows Defender (через PowerShell)

Команда SOC Prime
17 грудня 2025

Підозріла активність VSSADMIN (через cmdline)

Команда SOC Prime
17 грудня 2025

Вимкнення моніторингу в режимі реального часу Windows Defender (через PowerShell)

Команда SOC Prime
17 грудня 2025

Індикатори компрометації (Email), щоб виявити: Операції FunkSec RaaS: Активізм зустрічається з кіберзлочинністю

Правила AI SOC Prime
17 грудня 2025

FunkSec Ransomware: Вимикання команд оборони системи [Windows PowerShell]

Правила AI SOC Prime
17 грудня 2025

Виявлення підвищення FunkSec Ransomware та видалення тіньової копії [Створення процесу Windows]

Правила AI SOC Prime
17 грудня 2025

Виконання симуляції

Передумова: Перевірка телеметрії та базової польотної підготовки повинна була пройти.

Мотивування: У цьому розділі детально описується точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив ПОВИННІ безпосередньо віддзеркалювати виявлені TTP та прагнути генерувати точну телеметрію, яку очікує логіка виявлення.

  • Розповідь про атаку та команди:

    1. Підвищуємо завантаження викупного програмного забезпечення: Атакувач використовує PowerShell Start-Process -Verb runas щоб повторно виконати зловмисний скрипт (FunkSec.exe) з правами адміністратора, що відповідає шаблону командного рядка, який відстежує правило.
    2. Видалення всіх тіньових копій: Відразу після підвищення привілеїв атакувач виконує vssadmin delete shadows /all /quiet щоб стерти точки відновлення системи, виконуючи другу умову правила.
    3. Обидві команди виконуються у швидкій послідовності в одному користувацькому контексті, гарантуючи, що вони з’являться у вікні кореляції правила Sigma.
  • Сценарій регресійного тестування: Наведений нижче сценарій відтворює точну поведінку. Виконайте його на хості Windows з конфігурацією журналювання, описаною раніше.

    # ==============================
    # Симуляція підвищення FunkSec Ransomware та видалення тіньової копії
    # ==============================
    # 1. Визначте шлях до (фіктивного) зловмисного виконуваного файлу.
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    # Створіть фіктивний файл, щоб діяти як завантаження викупного програмного забезпечення.
    New-Item -Path $maliciousExe -ItemType File -Force | Out-Null
    
    # 2. Перезапустіть фіктивне навантаження з підвищеними привілеями.
    $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
    Write-Host "Виконання запуску з підвищеними привілеями..."
    Invoke-Expression $elevatedCmd
    
    # 3. Видаліть всі тіньові копії об'ємів.
    Write-Host "Видалення всіх тіньових копій..."
    vssadmin delete shadows /all /quiet
    
    # Очистити фіктивне навантаження (за бажанням, для підтримки тестової гігієни)
    Remove-Item -Path $maliciousExe -Force
  • Команди очищення: Видалення всіх артефактів, створених під час симуляції.

    # Перевірте, чи немає фіктивного виконуваного файлу
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }
    
    # Переконайтеся, що не залишилось рештків видалення тіньових копій – (дії не потрібні, оскільки vssadmin не має стану)
    Write-Host "Очищення завершено."