SOC Prime Bias: Високий

15 Jun 2026 15:57 UTC
newspaper icon picussecurity.com

Вимагальне ПЗ Tengu: від початкового доступу до шифрування

Author Photo
SOC Prime Team linkedin icon Стежити
Вимагальне ПЗ Tengu: від початкового доступу до шифрування
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Tengu — це операція Ransomware-as-a-Service, що дотримується моделі подвійного вимагання. Перед початком шифрування зловмисники використовують Living Off the Land Binaries для запуску шкідливих програм і ексфільтрації конфіденційних даних до хмарного сховища MEGA. Комунікації з жертвами та переговори щодо оплати відбуваються через портал на базі Tor.

Дослідження

Звіт містить повний ланцюжок проникнення Tengu, починаючи з початкового доступу через фішинг або вкрадені облікові дані і закінчуючи шифруванням даних. Він робить акцент на використанні легітимних адміністраторських утиліт, таких як PowerShell та Rclone, які допомагають зловмисникам зливатися з нормальною активністю та зменшувати ймовірність виявлення.

Пом’якшення

Команди безпеки повинні впроваджувати сильну багатофакторну автентифікацію для зниження ризику зловживання обліковими даними на службах RDP та VPN. Організації також повинні контролювати підозрілу діяльність LOLBin, обмежувати несанкціоноване використання платформ хмарного зберігання та зберігати регулярні офлайн-резервні копії, які можуть підтримувати відновлення.

Відповідь

Якщо виявлено активність Tengu, негайно ізолюйте уражені системи для зупинки бічного переміщення та додаткової ексфільтрації даних. Перевірте журнали подій Windows та конфігурації сервісів на предмет несанкціонованих модифікацій та активуйте процедури реагування на інцидент для визначення обсягу розголошення даних та активності шифрування.

graph TB %% Розділ визначення класів classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#fbb,stroke:#333,stroke-width:2px classDef exfiltration fill:#bfb,stroke:#333,stroke-width:2px classDef impact fill:#f96,stroke:#333,stroke-width:2px classDef tool fill:#ccc,stroke:#333,stroke-width:1px %% Вузли початкового доступу access_phishing[“<b>Дія</b> – <b>T1566.002 Фішинг: Посилання цільового фішингу</b><br/>Опис: Надсилання цільових посилань жертвам для отримання доступу.”] class access_phishing initial_access access_exploit[“<b>Дія</b> – <b>T1190 Експлуатація публічного застосунку</b><br/>Опис: Використання вразливостей у програмному забезпеченні, доступному через Інтернет.”] class access_exploit initial_access access_accounts[“<b>Дія</b> – <b>T1078 Дійсні облікові записи</b><br/>Опис: Використання викрадених облікових даних для доступу до RDP або VPN кінцевих точок.”] class access_accounts initial_access op_initial_access((“AND”)) class op_initial_access operator %% Вузли виконання та підвищення привілеїв exec_powershell[“<b>Дія</b> – <b>T1059.001 Інтерпретатор команд і скриптів: PowerShell</b><br/>Опис: Виконання шкідливих навантажень через PowerShell.”] class exec_powershell execution exec_cmd[“<b>Дія</b> – <b>T1059.003 Інтерпретатор команд і скриптів: Командна оболонка Windows</b><br/>Опис: Виконання команд через cmd.exe.”] class exec_cmd execution exec_rundll32[“<b>Дія</b> – <b>T1218.011 Rundll32</b><br/>Опис: Виконання шкідливого коду через Rundll32.exe.”] class exec_rundll32 execution priv_esc_lsass[“<b>Дія</b> – <b>T1003.001 Дамп облікових даних ОС: Пам’ять LSASS</b><br/>Опис: Отримання адміністративних облікових даних із пам’яті LSASS.”] class priv_esc_lsass execution %% Вузли порушення захисту def_disable_tools[“<b>Дія</b> – <b>T1562.001 Погіршення захисту: Вимкнення або модифікація інструментів</b><br/>Опис: Вимкнення Windows Security Center та Windows Update за допомогою sc config.”] class def_disable_tools defense_impairment def_clear_logs[“<b>Дія</b> – <b>T1070.001 Видалення індикаторів: Очищення журналів подій Windows</b><br/>Опис: Знищення криміналістичних слідів за допомогою wevtutil cl *.”] class def_clear_logs defense_impairment %% Вузли ексфільтрації exfil_cloud[“<b>Дія</b> – <b>T1567.002 Ексфільтрація до хмарного сховища</b><br/>Опис: Переміщення конфіденційних даних до хмарних провайдерів.”] class exfil_cloud exfiltration tool_rclone[“<b>Інструмент</b> – <b>Назва</b>: Rclone / WinSCP<br/>Опис: Легітимні інструменти для передачі даних до MEGA.”] class tool_rclone tool %% Вузли впливу impact_recovery[“<b>Дія</b> – <b>T1490 Блокування відновлення системи</b><br/>Опис: Видалення тіньових копій за допомогою vssadmin delete shadows /all /quiet.”] class impact_recovery impact impact_encryption[“<b>Дія</b> – <b>T1486 Шифрування даних для впливу</b><br/>Опис: Шифрування файлів із розширенням .tengu та створення TENGU_README.txt.”] class impact_encryption impact %% З’єднання access_phishing –>|призводить_до| op_initial_access access_exploit –>|призводить_до| op_initial_access access_accounts –>|призводить_до| op_initial_access op_initial_access –>|призводить_до| exec_powershell op_initial_access –>|призводить_до| exec_cmd op_initial_access –>|призводить_до| exec_rundll32 exec_powershell –>|дозволяє| priv_esc_lsass exec_cmd –>|дозволяє| priv_esc_lsass priv_esc_lsass –>|призводить_до| def_disable_tools priv_esc_lsass –>|призводить_до| def_clear_logs def_disable_tools –>|передує| exfil_cloud def_clear_logs –>|передує| exfil_cloud exfil_cloud –>|використовує| tool_rclone tool_rclone –>|призводить_до| impact_recovery impact_recovery –>|призводить_до| impact_encryption

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базових налаштувань повинна бути пройдена.

Обґрунтування: У цьому розділі описується точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та опис повинні безпосередньо відображати ідентифіковані TTP та спрямовуватися на генерування очікуваної телеметрії згідно з логікою виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.

  • Історія атаки та команди: Атака має на меті ініціювати фазу розгортання шифрувальника Tengu. Щоб уникнути виявлення простими сигнатурами антивірусу, вони використовують техніки “Життя за рахунок зовнішніх засобів” (LotL). Зловмисник спочатку використовує powershell.exe для завантаження підготовчого навантаження, а потім використовує rundll32.exe для виконання шкідливої DLL. Це імітує поведінку, описану в ланцюгу атак Tengu, де легітимні бінарні файли Windows використовуються для здійснення шкідливої діяльності, намагаючись злитися з рутинною адміністративною активністю.

  • Сценарій регресійного тестування:

    # Сценарій симуляції виконання Tengu Ransomware
# Цей сценарій імітує використання LOLBins для запуску правила виявлення.

Write-Host "[*] Запуск симуляції виконання Tengu Ransomware..." -ForegroundColor Cyan

# 1. Імітація завантаження вантажу через PowerShell (T1059.001)
Write-Host "[*] Імітація завантаження вантажу через PowerShell..." -ForegroundColor Yellow
powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Імітація завантаження шкідливого вантажу...'"

# 2. Імітація розвідки на базі CMD (T1059.003)
Write-Host "[*] Імітація розвідки на базі CMD..." -ForegroundColor Yellow
cmd.exe /c "whoami /all"

# 3. Імітація виконання Rundll32 (T1218.011)
Write-Host "[*] Імітація виконання шкідливої DLL через Rundll32..." -ForegroundColor Yellow
rundll32.exe javascript:"alert('Виконання симульованого навантаження Tengu');"

Write-Host "[+] Симуляція завершена. Перевірте SIEM на наявність оповіщень." -ForegroundColor Green

  • Команди очищення:

    # Жодні постійні файли або реєстрові ключі в цій симуляції не змінювались.
# Виконані команди є віртуальними процесами.
Write-Host "[*] Очищення не потрібне, оскільки постійних артефактів не створено." -ForegroundColor Cyan

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно