SOC Prime Bias: Високий

15 Jun 2026 15:57 UTC

Вимагальне ПЗ Tengu: від початкового доступу до шифрування

Author Photo
SOC Prime Team linkedin icon Стежити
Вимагальне ПЗ Tengu: від початкового доступу до шифрування
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Tengu — це операція Ransomware-as-a-Service, що дотримується моделі подвійного вимагання. Перед початком шифрування зловмисники використовують Living Off the Land Binaries для запуску шкідливих програм і ексфільтрації конфіденційних даних до хмарного сховища MEGA. Комунікації з жертвами та переговори щодо оплати відбуваються через портал на базі Tor.

Дослідження

Звіт містить повний ланцюжок проникнення Tengu, починаючи з початкового доступу через фішинг або вкрадені облікові дані і закінчуючи шифруванням даних. Він робить акцент на використанні легітимних адміністраторських утиліт, таких як PowerShell та Rclone, які допомагають зловмисникам зливатися з нормальною активністю та зменшувати ймовірність виявлення.

Пом’якшення

Команди безпеки повинні впроваджувати сильну багатофакторну автентифікацію для зниження ризику зловживання обліковими даними на службах RDP та VPN. Організації також повинні контролювати підозрілу діяльність LOLBin, обмежувати несанкціоноване використання платформ хмарного зберігання та зберігати регулярні офлайн-резервні копії, які можуть підтримувати відновлення.

Відповідь

Якщо виявлено активність Tengu, негайно ізолюйте уражені системи для зупинки бічного переміщення та додаткової ексфільтрації даних. Перевірте журнали подій Windows та конфігурації сервісів на предмет несанкціонованих модифікацій та активуйте процедури реагування на інцидент для визначення обсягу розголошення даних та активності шифрування.

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базових налаштувань повинна бути пройдена.

Обґрунтування: У цьому розділі описується точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та опис повинні безпосередньо відображати ідентифіковані TTP та спрямовуватися на генерування очікуваної телеметрії згідно з логікою виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.

  • Історія атаки та команди: Атака має на меті ініціювати фазу розгортання шифрувальника Tengu. Щоб уникнути виявлення простими сигнатурами антивірусу, вони використовують техніки “Життя за рахунок зовнішніх засобів” (LotL). Зловмисник спочатку використовує powershell.exe для завантаження підготовчого навантаження, а потім використовує rundll32.exe для виконання шкідливої DLL. Це імітує поведінку, описану в ланцюгу атак Tengu, де легітимні бінарні файли Windows використовуються для здійснення шкідливої діяльності, намагаючись злитися з рутинною адміністративною активністю.

  • Сценарій регресійного тестування:

    # Сценарій симуляції виконання Tengu Ransomware
    # Цей сценарій імітує використання LOLBins для запуску правила виявлення.
    
    Write-Host "[*] Запуск симуляції виконання Tengu Ransomware..." -ForegroundColor Cyan
    
    # 1. Імітація завантаження вантажу через PowerShell (T1059.001)
    Write-Host "[*] Імітація завантаження вантажу через PowerShell..." -ForegroundColor Yellow
    powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Імітація завантаження шкідливого вантажу...'"
    
    # 2. Імітація розвідки на базі CMD (T1059.003)
    Write-Host "[*] Імітація розвідки на базі CMD..." -ForegroundColor Yellow
    cmd.exe /c "whoami /all"
    
    # 3. Імітація виконання Rundll32 (T1218.011)
    Write-Host "[*] Імітація виконання шкідливої DLL через Rundll32..." -ForegroundColor Yellow
    rundll32.exe javascript:"alert('Виконання симульованого навантаження Tengu');"
    
    Write-Host "[+] Симуляція завершена. Перевірте SIEM на наявність оповіщень." -ForegroundColor Green
  • Команди очищення:

    # Жодні постійні файли або реєстрові ключі в цій симуляції не змінювались.
    # Виконані команди є віртуальними процесами.
    Write-Host "[*] Очищення не потрібне, оскільки постійних артефактів не створено." -ForegroundColor Cyan