Операторы Ryuk осуществили весь цикл атаки всего за 5 часов

[Artifact]

Высокая скорость атаки была достигнута в основном благодаря эксплуатации уязвимости повышения привилегий Zerologon.

Операторы вымогательского ПО Ryuk совершили очередную кибератаку, однако в этот раз преступники перешли от отправки фишинговых электронных писем до полной компрометации среды и шифрования систем жертвы всего за 5 часов. Такая скорость атаки была достигнута в основном благодаря эксплуатации уязвимости повышения привилегий Zerologon ( CVE-2020-1472 ) менее чем через два часа после первого этапа.
Уязвимость Zerologon связана с использованием ненадежного криптографического алгоритма в механизме аутентификации Netlogon. С ее помощью атакующий может имитировать любой компьютер в сети при аутентификаци на контроллере домена, отключить функции безопасности Netlogon или изменить пароль в базе данных Active Directory контроллера домена.
По словам специалистов проекта DFIR, атака началась с фишингового письма, содержащего версию загрузчика Bazar. Злоумышленники выполнили стандартное сопоставление домена с помощью встроенных утилит Windows, таких как Nltest. Однако им нужно было повысить свои привилегии на системе с целью нанести реальный ущерб, поэтому они использовали недавно обнаруженную уязвимость Zerologon.
Получив повышенные права администратора, киберпреступники смогли сбросить пароль основного контроллера домена. Затем они перешли на дополнительный контроллер домена, выполняя больше операций через сеть и модуль PowerShell Active Directory.
Как отметили специалисты, перемещение по сети осуществлялось посредством передачи файлов по протоколу Server Message Block (SMB) и использование маяков Cobalt Strike с помощью Windows Management Instrumentation (WMI). Cobalt Strike принадлежит к группе инструментов двойного назначения, которые обычно используются для выполнения задач как во время эксплуатации уязвимости, так после.
По результатам анализа атаки, примерно через 4 часа 10 минут группировка перешла с основного контроллера домена, используя RDP для подключения к резервным серверам. Затем с помощью AdFind была проведена дополнительная проверка домена.
На заключительном этапе атаки операторы Ryuk сначала развернули исполняемый файл программы-вымогателя на серверах резервного копирования. После этого вредоносная программа была загружена на другие серверы среды, а затем и на рабочие станции.
Как писал ранее SecurityLab, атака с использованием вымогательского ПО Ryuk прежде занимала 29 часов – начиная от отправки жертве электронного письма и заканчивая полной компрометацией среды и шифрованием систем. Однако использование Zerologon значительно упростило действия киберпреступников, поскольку атака не была нацелена на пользователя с высокими привилегиями.