Екипът Threat Hunter на Symantec и Carbon Black разкри поредни атаки, насочени към украински организации. Този път бяха открити две отделни кампании – продължила около два месеца в голяма (неназована) фирма за бизнес услуги и едноседмична атака срещу местна държавна институция. И в двата случая целта е била кражба на чувствителни данни и осигуряване на дълготрайно присъствие в мрежите.

Как действаха нападателите

• Входът в мрежата е осигурен чрез уебшел (webshell) на публично изложени сървъри – вероятно чрез експлоатиране на непачнати уязвимости.

• Един от използваните шелове е Localolive, който Microsoft свързва със субгрупа на руската група Sandworm (известна и като Seashell/Blizzard). Изследователите не са успели да потвърдят категорично връзка със Sandworm, но активността изглежда руска.

• Атакуващите залагат на living-off-the-land (LOTL) и на легитимни (dual-use) инструменти — минимална употреба на собствен зловреден код и голям акцент върху вградените Windows инструменти и общодостъпни админски програми. Това намалява шумa и шанса за откриване.

Какво означава това

• Минималният зловреден отпечатък и разчитането на легитимни инструменти правят откриването по-трудно, но при добра телеметрия и лов на заплахи кампаниите се идентифицират — както е станало в този случай.

• Тактиката е типична за напреднали държавно-поддържани групи: кратки и дълги кампании, целящи кражба на креденшъли, ексфилтрация на данни и трайна упоритост в средата.

Технически индикатори и уязвимости за наблюдение

• Име/тип на webshell: Localolive (свързвано със  Sandworm).

• Поведение: инсталиране/поддържане на webshells на публично достъпни уеб сървъри; използване на PowerShell, WMI, PsExec, certutil и други „living-off-the-land“ инструменти; ексфилтрация чрез легитимни протоколи.

• Вектор: експлоатиране на непачнати публично изложени уеб приложения/сървъри.

Препоръки за защита (за ИТ/отбранителни екипи)

1. Пачвайте публично изложените уеб приложения и сървъри незабавно и следете за известни уязвимости в CMS, фреймуърци и уеб сървъри.

2. Ограничете достъпа до административни интерфейси (изложени панели, debug маршрути и т.н.) — преместете ги зад VPN или IP-Whitelist.

3. Мониторинг на целия стек: логвайте и корелирайте уеб заявки, необичайни POST/PUT операции, и необичайни изпълнения на скриптове.

4. Откриване на webshells: търсете необичайни файлове, persist-роути, B64 съдържание в заявки и подозрителни POST payloads.

5. Ограничете употребата на легитимни инструменти и наблюдавайте команди PowerShell/WMIC/PsExec; въведете Application Control/Allowlisting където е възможно.

6. Ротация на креденшъли и MFA: при съмнение за компромис – ротация на пароли, превключване на ключове и задължително многофакторно удостоверяване.

7. Threat hunting и ретроспективни разследвания: прегледайте историческите логове за признаци на persistence и lateral movement; използвайте EDR/NRDR за търсене на LOTL поведения.

8. Сегментация на мрежата и принцип на минимум привилегии, за да се ограничи разпространението при пробив.

Докладът подчертава вече установен тренд: руско-свързани нападатели продължават да таргетират украински цели, използвайки фини, „безшумни“ методи – webshells и LOTL техники – за да крадат данни и да запазят дълготрайно присъствие. Макар че такива кампании са трудни за откриване, подходящи пач стратегии, стриктен мониторинг и активен hunting остават ефективни контрамерки.