intro. Статья является переводом. Кто желает — вот оригинал:

При расследовании инцидента, произошедшего в сентябре 2025 года, Unit 42 обнаружила необычную виртуальную машину (ВМ), которая использовалась киберпреступной группировкой Muddled Libra (также известной как Scattered Spider, UNC3944). Содержимое виртуальной машины и данные об активности, связанной с атакой, дают ценную информацию о методах работы этой злоумышленной группы.

Muddled Libra создала виртуальную машину после того, как получила несанкционированный доступ к среде VMware vSphere целевой системы. В ходе атаки были предприняты следующие действия:

  • Проведение разведки

  • Загрузка инструментов

  • Обеспечение постоянного доступа через канал управления и контроля (C2)

  • Использование украденных сертификатов

  • Копирование файлов с зараженной виртуальной машины на целевой контроллер домена (DC)

  • Взаимодействие с инфраструктурой Snowflake на целевом сервере

Судя по характеристикам атаки, с высокой долей вероятности она была совершена группировкой Muddled Libra. В этой статье мы подробно анализируем наши наблюдения, чтобы пролить свет на тактику, методы и процедуры (TTP) злоумышленников.

Злоумышленники, связанные с группировкой Muddled Libra, используют различные тактики социальной инженерии (смишинг, вишинг) для получения первоначального доступа к целевым организациям. Их действия могут включать атаки на колл-центры потенциальных жертв, а также на колл-центры сторонних компаний. К таким сторонним компаниям относятся аутсорсинговые компании, предоставляющие услуги бизнес-процессов (Business Process Outsourcing, BPO), и поставщики управляемых услуг (Managed Service Provider, MSP). Это расширяет круг потенциальных целей группировки.

Злоумышленники, связанные с группировкой Muddled Libra, отлично умеют манипулировать человеческой психологией, выдавая себя за сотрудников компании, чтобы получить доступ к паролям и сбросить многофакторную аутентификацию (МФА). На рисунке 1 представлена структура Muddled Libra с точки зрения демографических данных, методов работы, выбора жертв и действий в отношении целей.

Рисунок 1. Запутанный профиль угрозы Libra
Рисунок 1. Запутанный профиль угрозы Libra

Злоумышленники из Muddled Libra стараются как можно реже использовать вредоносное ПО на всех этапах атаки. По возможности они предпочитают использовать против своих жертв их собственные ресурсы.

Злоумышленники часто используют легальные продукты в корыстных целях, злоупотребляют ими или выводят их из строя. Это не означает, что легальный продукт несовершенен или вредоносен.

Предыстория цепочки атак

В сентябре 2025 года Unit 42 помогла одному из клиентов отреагировать на инцидент. В ходе расследования мы обнаружили и восстановили виртуальную машину, созданную злоумышленниками для проведения первых этапов атаки. Злоумышленники не успели удалить эту виртуальную машину до того, как их доступ к ней был заблокирован. Мы часто сталкиваемся с тем, что злоумышленники создают виртуальные машины в целевых средах, чтобы избежать обнаружения с помощью таких инструментов, как обнаружение и реагирование на конечных точках (EDR) или расширенное обнаружение и реагирование (XDR).

Изучив эту виртуальную машину, мы выяснили, какие инструменты использовали злоумышленники и какие базовые действия по устранению неполадок они предпринимали во время несанкционированного доступа. Это позволило нам понять их методы работы.

Изучив артефакты и логи, мы выявили множество действий, совершенных с этой виртуальной машины, включая горизонтальное перемещение и использование инструментов.

На рисунке 2 показаны наши наблюдения в ходе расследования. Обратите внимание, что приведенный ниже анализ касается только одной системы и не охватывает весь инцидент, зафиксированный Unit 42.

Рисунок 2. Общая схема событий в ходе атаки, расследованной подразделением 42
Рисунок 2. Общая схема событий в ходе атаки, расследованной подразделением 42

Распутываем гордиев узел

Через 2 часа после получения доступа к среде целевого объекта заметили, что злоумышленники зашли на портал vSphere целевого объекта и создали новую виртуальную машину под названием «Новая виртуальная машина». Затем злоумышленники использовали эту виртуальную машину на ранних этапах инцидента в качестве плацдарма с локальной учётной записью администратора.

Вскоре после входа в только что созданную виртуальную машину злоумышленники скачали украденные сертификаты из целевой среды. Они использовали эти сертификаты для подделки билетов на всех этапах атаки.

В течение трёх минут злоумышленники закрепились в среде жертвы, используя SSH-туннель через инструмент Chisel. Этот инструмент находился в ZIP-архиве goon.zip, который был размещён в корзине AWS S3 под контролем злоумышленников.

Примерно через минуту после того, как они скачали ZIP-архив с Chisel, мы зафиксировали вредоносные сетевые подключения к IP-адресу, контролируемому злоумышленником, через TCP-порт 443 (HTTPS). Мы наблюдали за этим подключением в общей сложности 15 часов.

Рисунок 3. Архив URL-хостинга, содержащий инструмент Chisel
Рисунок 3. Архив URL-хостинга, содержащий инструмент Chisel
Рисунок 4. Загруженный инструмент goon.zip
Рисунок 4. Загруженный инструмент goon.zip
Рисунок 5. Инструмент для SSH-туннелирования chisel.exe, извлеченный из goon.zip
Рисунок 5. Инструмент для SSH-туннелирования chisel.exe, извлеченный из goon.zip

Через минуту мы зафиксировали вход в систему в интерактивном режиме под новой локальной учетной записью пользователя gooner.
Спустя 15 минут после создания виртуальной машины злоумышленники с помощью vSphere отключили питание двух виртуализированных контроллеров домена. Затем они подключили диски виртуальных машин (VMDK) к отключенным контроллерам домена. Это позволило им скопировать файлы NTDS.dit и реестр SYSTEM с этих двух контроллеров домена и поместить их на рабочий стол учетной записи администратора на вновь созданной виртуальной машине.
Через 2 минуты они записали два файла — result и result.kerb — на рабочий стол учетной записи локального администратора. Мы извлекли эти файлы и выяснили, что это были расшифрованные версии базы данных NTDS.dit Active Directory целевого устройства, в которых содержались хэши всех пользователей.
Эти наблюдения проиллюстрированы на рисунках 6 и 7.

Рис. 6. Журналы VMware с записями о завершении работы контроллера домена
Рис. 6. Журналы VMware с записями о завершении работы контроллера домена
Рис. 7. Список файлов, обнаруженных при поиске учетных данных, хэша NTML и хэша Kerberos
Рис. 7. Список файлов, обнаруженных при поиске учетных данных, хэша NTML и хэша Kerberos

Через 30 минут после получения доступа к недавно созданной виртуальной машине злоумышленники запустили инструмент для сбора информации об Active Directory инструментом ADRecon. Ребята из Unit 42 обнаружили и извлекли десятки файлов, связанных с ADRecon, в том числе скрипт PowerShell и выходные файлы.

В этих файлах содержалась следующая информация:

  • Сведения о домене

  • Лес

  • Доверительные фонды

  • Сайты

  • Подсети

  • Схема

  • Политика паролей

  • Контрольные центры

  • Имена участников-служб (SPN)

  • Пользователи

  • Объекты групповой политики (GPO)

проверь орфографию

Отчет из инструмента ADRecon помещались в ZIP-архив с именем <ОРГАНИЗАЦИЯ-ЖЕРТВА>.zip (где <организация-жертва> — название организации-жертвы, отредактированное для этого отчета). Мы также заметили, что злоумышленники загружали инструмент ADExplorer64.exe напрямую с домена Microsoft SysInternals.
На рисунке 8 показаны эти действия.

Рисунок 8. Список выходных файлов ADRecon, обнаруженных в ходе нашего расследования
Рисунок 8. Список выходных файлов ADRecon, обнаруженных в ходе нашего расследования

В отчете ADRecon злоумышленники открыли только CSV-файл ComputerSPNs.csv. Файл содержал доступные имена субъектов-служб (SPN), связанные с хостами в среде. Злоумышленники собирали эту информацию, чтобы определить критически важные службы, на которые они хотят нацелиться. К таким критически важным службам относятся:

  • Veeam

  • Терминальные службы

  • Hyper-V

  • MSSQL

  • Exchange

  • Другие аналогичные системы, показанные на рисунке 9

Рис. 9. Список целевых сервисов, обнаруженных в ходе нашего расследования
Рис. 9. Список целевых сервисов, обнаруженных в ходе нашего расследования

Через час злоумышленники начали искать в интернете различные аббревиатуры, связанные с жертвой, чтобы определить ценную информацию для кражи. Они вводили запросы «что такое код NAICS» и «поиск кода NAICS», как показано на рисунке 10.

Код Североамериканской системы отраслевой классификации (North American Industry Classification System, NAICS) — это шестизначное число, которое классифицирует предприятия по основному виду экономической деятельности. Злоумышленники могли использовать этот код, чтобы определить категорию бизнеса целевой организации.

Рисунок 10. Пример веб-поиска
Рисунок 10. Пример веб-поиска

Спустя 30 минут поиска в интернете хакеры начали попытки украсть данные из базы данных Snowflake. Их они загрузили на свою виртуальную машину для дальнейшей отправки на внешний файловый обменник, который успешно заблокир��вали политики компании и DLP-система.

Попробовав безуспешно несколько популярных файловых обменников, хакеры начали искать в Bing «загрузить файлы» и «загрузить файлы без регистрации», пытаясь найти незаблокированный файлообменник.

Хакеры пытались попасть к следующим сайтам:

  • LimeWire

  • upload[.]ee

  • uploadnow[.]io

  • filetransfer[.]io

  • filebin[.]io

  • Dropbox

Эти наблюдения проиллюстрированы на рисунках 11–13.

Рисунок 11. Список действий Snowflake при просмотре веб-страниц, зафиксированных в ходе нашего расследования
Рисунок 11. Список действий Snowflake при просмотре веб-страниц, зафиксированных в ходе нашего расследования
Рис. 12. Результаты поиска в интернете по запросу «сервисы облачного хранения данных», обнаруженные в ходе нашего расследования
Рис. 12. Результаты поиска в интернете по запросу «сервисы облачного хранения данных», обнаруженные в ходе нашего расследования
Рис. 13. Действия пользователей при просмотре веб-страниц в облачных хранилищах, обнаруженные в ходе расследования
Рис. 13. Действия пользователей при просмотре веб-страниц в облачных хранилищах, обнаруженные в ходе расследования

После получения доступа к данным злоумышленники начали горизонтальное перемещение, используя скомпрометированные учетные записи с SSH-туннелем, RDP и PsExec. Загрузив инструмент PsExec напрямую с домена Microsoft SysInternals.

Спустя 4 часа после создания виртуальной машины злоумышленники начали искать дополнительные конфиденциальные данные. Заметили, что они взломали несколько учетных записей, одну из которых использовали для доступа к почтовым ящикам других учетных записей, чтобы скачать файл Personal Storage Table (PST). Однако, судя по истории поиска в Bing, у них возникли трудности с доступом к почтовому ящику через Office.

Затем злоумышленники поискали в интернете по запросам «office[.]com скачать старую версию» и «где можно скачать старую версию Outlook?». Злоумышленники также просмотрели различные посты на Reddit, связанные с этим запросом. Вскоре после этого они скачали и запустили OfficeSetup.exe от Microsoft.

Начали устранять неполадки, такие как «медленная загрузка писем в Outlook», и провели несколько тестов скорости интернета на сайте fast[.]com.
Эти наблюдения проиллюстрированы на рисунках 14–17.

Рис. 14. Действия при входе в Outlook, обнаруженные в ходе нашего расследования
Рис. 14. Действия при входе в Outlook, обнаруженные в ходе нашего расследования
Рисунок 15. Результаты поиска в интернете по запросу «агенты Outlook», обнаруженные в ходе расследования
Рисунок 15. Результаты поиска в интернете по запросу «агенты Outlook», обнаруженные в ходе расследования
Рис. 16. Результаты поиска в интернете по старым версиям Outlook, обнаруженным в ходе расследования
Рис. 16. Результаты поиска в интернете по старым версиям Outlook, обнаруженным в ходе расследования
Рисунок 17. Веб-поиск для устранения проблем с медленной загрузкой электронной почты и проверки скорости соединения
Рисунок 17. Веб-поиск для устранения проблем с медленной загрузкой электронной почты и проверки скорости соединения

Помимо проверки скорости загрузки, злоумышленники использовали Bing для определения местоположения файла Outlook ODT. 
Это показано на рисунке 18.

Заметили Microsoft Defender установленный на виртуальной машине по умолчанию, заблокировал несколько вредоносных файлов на этой виртуальной машине. Среди них были ADRecon, Chisel и GoSecretsDump. 
Список обнаружений приведен на рисунке 19.

Рис. 19. Обнаружения Microsoft Defender в инструментах, выявленных в ходе нашего расследования
Рис. 19. Обнаружения Microsoft Defender в инструментах, выявленных в ходе нашего расследования

Злоумышленники попытались извлечь PST-файл Outlook. Сначала они искали инструмент S3 Browser. Скачав его с сайта S3 Browser, злоумышленники попытались извлечь PST-файл, загрузив его в свое хранилище S3.Эти наблюдения проиллюстрированы на рисунках 20 и 21.

Рис. 20. Загруженный исполняемый файл браузера S3, обнаруженный в ходе расследования
Рис. 20. Загруженный исполняемый файл браузера S3, обнаруженный в ходе расследования
Рис. 21. Журналы браузера S3 при загрузке PST-файла
Рис. 21. Журналы браузера S3 при загрузке PST-файла

Спустя 15 часов после получения доступа и создания вредоносной виртуальной машины злоумышленники начали просматривать различные хосты VMware ESXi. Они продолжали перемещаться по сети, используя доступ к нескольким скомпрометированным учётным записям, пока их не заблокировала служба безопасности целевой организации.
Это показано на рисунке 22.

Рис. 22. Просмотр действий на хостах VMware ESXi, обнаруженных в ходе расследования
Рис. 22. Просмотр действий на хостах VMware ESXi, обнаруженных в ходе расследования

Заключение

Хакеры из Muddled Libra повлияли на бизнес-процессы многих организаций по всему миру. Они использовали самое слабое звено в любой, даже очень дорогой, системе информационной безопасности — человека.

Применяя публичную информацию, социальную инженерию и легальные инструменты, злоумышленники осторожно, но настойчиво перемещались по компании и остались незамеченными.

Этот инцидент — редкая возможность заглянуть в схему, используемую группировкой Muddled Libra. Он показывает, как одна вредоносная виртуальная машина, созданная хакерами на ресурсах компании, становится точкой закрепления и перемещения по сети, а также средством кражи информации.

Как противодействовать?

  • Обеспечение безопасности личных данных.

  • Строгий контроль доступа.

  • Постоянный мониторинг аномального использования административных инструментов и облачных сред.

Организациям следует внедрить стратегию эшелонированной защиты на основе следующих принципов:

  • Защита личности.

  • Доступ с минимальными привилегиями.

Несмотря на простоту тактики Muddled Libra, она сработала, и хакеры не были пойманы.

Понравилась статья.
Заходи в мой Telegram-канал Инфобез — там свежие разборы киберугроз, советы по защите и эксклюзивные кейсы.