Un atacante de habla francesa irrumpió en una pequeña empresa automovilística francesa, instaló un registrador de teclas y robó cuentas bancarias y credenciales de correo electrónico.
Normal hasta el movimiento cerca del final.
Antes de que el servidor de comando y control se apagara, instaló OpenSSH y Tailscale en la máquina de la víctima, creando una ruta de retorno que pasaba por alto el C2 por completo. Al día siguiente, su acceso se desconectó cuando el servidor Havoc se desconectó. Dieciocho días después, C2 regresó, sus agentes se reconectaron por su cuenta y él continuó con su trabajo.
Cato Networks capturó las 339 operaciones completas, comando por comando, durante un período de 33 días después de que los operadores colocaron claves SSH y guías paso a paso en depósitos de almacenamiento abiertos. El artículo, publicado el martes por el investigador de Cato CTRL, Vitaly Simovich, es una rara observación de que la intrusión se produjo a través del teclado de un operador, en lugar de restos forenses.
La conclusión de los investigadores es sencilla. Si el atacante ya ha construido otra puerta, desconectar el servidor C2 no será una solución.
El actor con el apodo de «Poisson» no es un APT. Los investigadores describen a los operadores junior en un horario escolar, activos después de las 3 p.m. CET, con un largo intervalo al mediodía, todos funcionando con un kit de nivel gratuito (DuckDNS, Backblaze B2 y un VPS IONOS barato de Berlín). Su oficio comercial era endeble.
Comprometió su directorio de inicio cinco veces, nombró un depósito de almacenamiento con el nombre de su identificador y dejó un archivo de prueba de sus repetidas pulsaciones de teclas dentro de un paquete de registrador de teclas. Fracasó en aproximadamente la mitad de sus intentos. De todos modos, puso en riesgo cuatro máquinas.
cadena
El malware se ejecutó casi por completo en la memoria. Un stager de VBScript con retardo para evitar la zona de pruebas descifró el cargador de PowerShell y desactivó el cargador de .NET que ejecuta el agente demonio de Havoc sin dejar caer el implante al disco. Para la elevación, utilicé Start-Process -Verb RunAs, que no es un bypass silencioso de UAC. Aparecerá un mensaje de consentimiento de Windows y esperará a que alguien haga clic en Sí. Una víctima requirió 12 intentos durante dos días.
Entonces se decidió el punto más importante. Ejecuta una tarea programada con los privilegios más altos en cada inicio de sesión, inyecta shellcode en Explorer.exe y utiliza un RustDesk personalizado como canal de respaldo. Credential Grabber es un registrador de teclas Python de 70 líneas que escribe las pulsaciones de teclas en un archivo local sin utilizar balizas ni un servidor exfil. Poisson inició sesión, recuperó manualmente los archivos y ejecutó powercfg para evitar que la máquina entrara en modo de suspensión, por lo que la recolección nunca se detuvo.
movimiento importante
El 7 de abril, en una sesión nocturna de cinco horas, instaló un servidor OpenSSH y Tailscale, unió la máquina de la víctima a la red privada de Tailscale y configuró SSH basado en claves y túneles inversos. Ahora puede acceder a su máquina a través de la malla de cifrado de Tailscale sin utilizar C2 ni puertos públicos.
Al día siguiente, la infraestructura de Havoc quedó fuera de línea. Cato no dice por qué, pero poco importa. La ruta de Tailscale estaba en una red diferente, por lo que el acceso persistió.
Cuando C2 regresó el 26 de abril, el agente se volvió a conectar automáticamente. No había necesidad de volver a infringirlo. Durante los últimos cinco días, ejecutó 145 comandos adicionales, sondeó tarjetas inteligentes y almacenes de certificados (una señal de que estaba considerando inicios de sesión basados en certificados) y ejecutó dos ejecutables inexplicables de un archivo llamado Thales.zip durante un total de aproximadamente 32 minutos antes de eliminar 17 archivos y cesar la actividad el 1 de mayo.
Lo que quería era estrecho. No hubo mimikatz, ni movimiento lateral, ni ransomware, ni evidencia de que hubiera tomado ninguno de los documentos que había visto, desde registros de impuestos hasta seguros. Son solo cosas que la gente ingresa, como datos de inicio de sesión bancarios, contraseñas de correo electrónico, portales gubernamentales, etc. Para los propietarios de pequeñas empresas, es un riesgo financiero directo.
Ninguna de las herramientas es nueva, y ese es el punto. El APT31 de China utilizó Tailscale para salir silenciosamente de una empresa de TI rusa en 2024-2025, Scattered Spider se basó en herramientas legítimas de acceso remoto como Ngrok y Fleetdeck, y la reciente intrusión de ransomware Akira reveló el canal de respaldo de Poisson, RustDesk.
Dado que los archivos binarios están firmados y son legítimos, se pasarán por alto las detecciones que se detengan en un archivo con formato incorrecto en lugar de en un comportamiento incorrecto. Poisson agregó que es una prueba a nivel de comando de que el truco sobrevivirá al derribo y que lo realiza alguien que claramente todavía está aprendiendo.
que ver
La lista de caza de Catón es específica.
Advierte si hay un servidor OpenSSH instalado en una estación de trabajo Windows, lo cual rara vez es legítimo. Tenga cuidado con tailscale.exe en máquinas donde no hay motivo para ejecutar una VPN. Busque túneles inversos ssh -R hacia hosts externos. Verifique wscript.exe ejecutando el archivo .vbs desde la carpeta provisional del usuario. Marca la tarea programada con mayores privilegios que inicia el intérprete de script. Tenga cuidado de cambiar el tiempo de espera de powercfg para mantener la máquina activa. Bloquear DuckDNS.
El mayor problema: una vez que encuentre C2, asuma que no es la única manera de entrar y busque una capa silenciosa de persistencia detrás de él.
Qué había en Thales.zip y qué hicieron estos dos programas en la máquina durante los 32 minutos son preguntas que Cato deja abiertas. La respuesta más importante es que C2 nunca fue una intrusión, sólo una intrusión unilateral. Incluso si lo eliminas y dejas en ejecución OpenSSH, Tailscale, tareas programadas y keyloggers, un atacante aún puede entrar.
Ahí es donde sigue faltando restauración.
Source link
