- 27,661
- 46
- 8 Ноя 2022
Отключение управляющего сервера больше не означает завершение атаки.
Обычный взлом уже не всегда заканчивается вместе с отключением управляющего сервера. Специалисты Cato CTRL проанализировали работу франкоязычного злоумышленника под псевдонимом Poisson за 33 дня и выяснили, что даже начинающий оператор на бесплатных сервисах смог закрепиться в чужой системе так, чтобы сохранить доступ после падения своей инфраструктуры.
Кампания длилась с 30 марта по 1 мая 2026 года. За это время Poisson отправил 339 команд с сервера Havoc , атаковал небольшую французскую компанию из автомобильной сферы и несколько частных лиц во Франции. Чтобы хранить инструменты, он использовал четыре хранилища Backblaze B2, бесплатный DuckDNS и недорогой сервер IONOS в Берлине. Ошибки оператора помогли специалистам восстановить его действия: злоумышленник случайно оставил в открытом хранилище собственные ключи SSH и пошаговые заметки.
Сначала атака выглядела как типичная цепочка с вредоносными сценариями и скрытой загрузкой кода. Небольшой сценарий VBScript ждал 120 секунд, чтобы обойти часть автоматических проверок, затем расшифровывал команду PowerShell и загружал основной компонент. Вредоносный файл senti.dll прятал агент Havoc Demon внутри нескольких слоёв кодирования и запускал его без записи основного импланта на диск.
Poisson закреплялся через запланированные задания Windows, ярлык в папке автозагрузки и внедрял код в Explorer.EXE. Для запасного канала он ставил изменённую версию RustDesk с собственной настройкой ретранслятора. Попытки повысить права оказались грубыми: команда Start-Process -Verb RunAs просто вызывала стандартное окно контроля учётных записей Windows. На одной машине пользователь нажал «Да» почти сразу, на другой злоумышленнику понадобилось около десятка попыток за два дня.
Главной целью было красть учётные данные. 2 апреля Poisson установил 70-строчный перехватчик на Python, который записывал все нажатия клавиш в локальный текстовый файл. Отдельного сервера, чтобы отправлять данные, не было, автоматической передачи тоже. Оператор вручную забирал журнал через Havoc и за один день проверил файл четыре раза. К третьей проверке программа уже собрала около 3000 символов.
Самый опасный шаг Poisson сделал ночью 7 апреля. Он установил на машину жертвы сервер OpenSSH и Tailscale, после чего добавил заражённый компьютер в свою частную сеть. Затем настроил вход по ключу и обратный туннель SSH . Такой канал не зависел от Havoc, не требовал открытых входящих портов и мог работать даже после отключения основного управляющего сервера.
На следующий день сервер Havoc действительно перестал работать. Командный сервер и перенаправляющий узел пропали 8 апреля, но доступ через Tailscale и SSH остался. Когда инфраструктура вернулась 26 апреля, через 18 дней, заражённые машины снова подключились автоматически. Повторный взлом не понадобился: запланированные задания запускались при каждом входе, сервер SSH продолжал слушать соединения, а узел Tailscale оставался активным.
После возвращения Poisson выполнил ещё 145 команд. 30 апреля он четыре раза за 40 минут забирал данные перехватчика клавиш, десять раз запускал certutil -scinfo и проверял сведения о сертификатах и смарт-картах. Такой набор действий похож на поиск данных для входа через инфраструктуру открытых ключей. В тот же день он перенёс на машину жертвы файл Thales.zip, запустил найденное внутри .NET-приложение, затем скачал из своего хранилища 148-мегабайтную автономную версию той же программы с .NET 8.0. Что именно делали эти приложения за 32 минуты работы, специалисты не установили.
Перед уходом оператор удалил 17 файлов, включая артефакты, связанные с Thales, исходные вредоносные компоненты и архивы с данными. Перехватчик клавиш он оставил работать. Последняя команда была зафиксирована 30 апреля в 18:14 UTC, а 1 мая управляющий сервер снова отключился.
Cato CTRL подчёркивает, что Poisson не похож на участника продвинутой группировки. Его активность совпадала со школьным расписанием, инфраструктура строилась на бесплатных или дешёвых сервисах, а ошибки маскировки были грубыми. Он несколько раз раскрывал путь к собственной домашней папке, оставил рабочие инструкции в открытом хранилище и часто проваливал собственные команды. Но даже такого уровня хватило, чтобы скомпрометировать реальные машины, собирать пароли и построить устойчивый канал доступа.
Для защитников главный вывод неприятный: отключение управляющего сервера больше не означает завершение атаки. После инцидента нужно искать не только вредоносный агент, но и резервные каналы доступа. На рабочих станциях стоит проверять, установлен ли OpenSSH Server, неожиданный запуск Tailscale, обратные туннели SSH, подозрительные задания Windows с повышенными правами, запуск VBS-файлов из пользовательских каталогов и команды powercfg, которыми злоумышленники не дают компьютеру уснуть.
Poisson не шифровал файлы, не двигался по сети и не ставил майнеры. Его интересовали банковские пароли, почта и государственные порталы, то есть всё, что люди вводят руками каждый день. Именно поэтому небольшой перехватчик клавиш, запланированное задание и легитимная частная виртуальная сеть в такой кампании оказались опаснее, чем громкая вредоносная программа. Для малого бизнеса и частных пользователей подобная атака означает прямой риск кражи денег и доступа к важным учётным записям.
Обычный взлом уже не всегда заканчивается вместе с отключением управляющего сервера. Специалисты Cato CTRL проанализировали работу франкоязычного злоумышленника под псевдонимом Poisson за 33 дня и выяснили, что даже начинающий оператор на бесплатных сервисах смог закрепиться в чужой системе так, чтобы сохранить доступ после падения своей инфраструктуры.
Кампания длилась с 30 марта по 1 мая 2026 года. За это время Poisson отправил 339 команд с сервера Havoc , атаковал небольшую французскую компанию из автомобильной сферы и несколько частных лиц во Франции. Чтобы хранить инструменты, он использовал четыре хранилища Backblaze B2, бесплатный DuckDNS и недорогой сервер IONOS в Берлине. Ошибки оператора помогли специалистам восстановить его действия: злоумышленник случайно оставил в открытом хранилище собственные ключи SSH и пошаговые заметки.
Сначала атака выглядела как типичная цепочка с вредоносными сценариями и скрытой загрузкой кода. Небольшой сценарий VBScript ждал 120 секунд, чтобы обойти часть автоматических проверок, затем расшифровывал команду PowerShell и загружал основной компонент. Вредоносный файл senti.dll прятал агент Havoc Demon внутри нескольких слоёв кодирования и запускал его без записи основного импланта на диск.
Poisson закреплялся через запланированные задания Windows, ярлык в папке автозагрузки и внедрял код в Explorer.EXE. Для запасного канала он ставил изменённую версию RustDesk с собственной настройкой ретранслятора. Попытки повысить права оказались грубыми: команда Start-Process -Verb RunAs просто вызывала стандартное окно контроля учётных записей Windows. На одной машине пользователь нажал «Да» почти сразу, на другой злоумышленнику понадобилось около десятка попыток за два дня.
Главной целью было красть учётные данные. 2 апреля Poisson установил 70-строчный перехватчик на Python, который записывал все нажатия клавиш в локальный текстовый файл. Отдельного сервера, чтобы отправлять данные, не было, автоматической передачи тоже. Оператор вручную забирал журнал через Havoc и за один день проверил файл четыре раза. К третьей проверке программа уже собрала около 3000 символов.
Самый опасный шаг Poisson сделал ночью 7 апреля. Он установил на машину жертвы сервер OpenSSH и Tailscale, после чего добавил заражённый компьютер в свою частную сеть. Затем настроил вход по ключу и обратный туннель SSH . Такой канал не зависел от Havoc, не требовал открытых входящих портов и мог работать даже после отключения основного управляющего сервера.
На следующий день сервер Havoc действительно перестал работать. Командный сервер и перенаправляющий узел пропали 8 апреля, но доступ через Tailscale и SSH остался. Когда инфраструктура вернулась 26 апреля, через 18 дней, заражённые машины снова подключились автоматически. Повторный взлом не понадобился: запланированные задания запускались при каждом входе, сервер SSH продолжал слушать соединения, а узел Tailscale оставался активным.
После возвращения Poisson выполнил ещё 145 команд. 30 апреля он четыре раза за 40 минут забирал данные перехватчика клавиш, десять раз запускал certutil -scinfo и проверял сведения о сертификатах и смарт-картах. Такой набор действий похож на поиск данных для входа через инфраструктуру открытых ключей. В тот же день он перенёс на машину жертвы файл Thales.zip, запустил найденное внутри .NET-приложение, затем скачал из своего хранилища 148-мегабайтную автономную версию той же программы с .NET 8.0. Что именно делали эти приложения за 32 минуты работы, специалисты не установили.
Перед уходом оператор удалил 17 файлов, включая артефакты, связанные с Thales, исходные вредоносные компоненты и архивы с данными. Перехватчик клавиш он оставил работать. Последняя команда была зафиксирована 30 апреля в 18:14 UTC, а 1 мая управляющий сервер снова отключился.
Cato CTRL подчёркивает, что Poisson не похож на участника продвинутой группировки. Его активность совпадала со школьным расписанием, инфраструктура строилась на бесплатных или дешёвых сервисах, а ошибки маскировки были грубыми. Он несколько раз раскрывал путь к собственной домашней папке, оставил рабочие инструкции в открытом хранилище и часто проваливал собственные команды. Но даже такого уровня хватило, чтобы скомпрометировать реальные машины, собирать пароли и построить устойчивый канал доступа.
Для защитников главный вывод неприятный: отключение управляющего сервера больше не означает завершение атаки. После инцидента нужно искать не только вредоносный агент, но и резервные каналы доступа. На рабочих станциях стоит проверять, установлен ли OpenSSH Server, неожиданный запуск Tailscale, обратные туннели SSH, подозрительные задания Windows с повышенными правами, запуск VBS-файлов из пользовательских каталогов и команды powercfg, которыми злоумышленники не дают компьютеру уснуть.
Poisson не шифровал файлы, не двигался по сети и не ставил майнеры. Его интересовали банковские пароли, почта и государственные порталы, то есть всё, что люди вводят руками каждый день. Именно поэтому небольшой перехватчик клавиш, запланированное задание и легитимная частная виртуальная сеть в такой кампании оказались опаснее, чем громкая вредоносная программа. Для малого бизнеса и частных пользователей подобная атака означает прямой риск кражи денег и доступа к важным учётным записям.
- Источник новости
- www.securitylab.ru
