Програма-вимагач LeakNet

Програма-вимагач LeakNet здійснила помітну еволюцію в тактиці вторгнення, використовуючи метод соціальної інженерії ClickFix як основний вектор проникнення. Цей підхід маніпулює користувачами, змушуючи їх виконувати шкідливі команди під виглядом виправлення сфабрикованих системних помилок. На відміну від традиційних методів доступу, таких як купівля викрадених облікових даних у брокерів початкового доступу, ця тактика безпосередньо використовує довіру та звичну поведінку користувачів.

Скомпрометовані, але в іншому легітимні вебсайти використовуються як зброя для відправки підроблених запитів на перевірку CAPTCHA. Ці запити вказують користувачам скопіювати та виконати шкідливу команду msiexec.exe через діалогове вікно «Виконати» Windows. Оскільки взаємодія імітує повсякденну активність системи, атака виглядає рутинною та не викликає одразу підозр. Ця широка, опортуністична стратегія дозволяє таргетувати атаки в різних галузях без дискримінації.

Стратегічний зсув: Незалежність від брокерів початкового доступу

Перехід LeakNet на ClickFix являє собою продуману операційну зміну. Усуваючи залежність від сторонніх постачальників облікових даних, група зменшує як витрати, так і затримки, пов'язані з отриманням доступу. Ця незалежність усуває ключове вузьке місце, дозволяючи кампаніям масштабуватися швидше та ефективніше.

Крім того, використання скомпрометованої легітимної інфраструктури замість систем, контрольованих зловмисниками, значно зменшує кількість індикаторів мережі, які можна виявити. Це робить традиційні засоби захисту на основі периметра менш ефективними, оскільки шкідлива активність бездоганно поєднується з довіреним трафіком.

Безфайлове виконання: завантажувач на основі денних значень у дії

Визначальною технічною особливістю цих атак є розгортання поетапного завантажувача Command-and-Control, побудованого на середовищі виконання Deno JavaScript. Цей завантажувач виконує JavaScript, закодований у Base64, безпосередньо в пам'яті, уникаючи запису на диск та мінімізуючи артефакти експертизи.

Після активації завантажувач виконує кілька важливих функцій:

• Профілює скомпрометовану систему для збору інформації про стан навколишнього середовища
• Встановлює зв'язок із зовнішнім сервером для отримання вторинних корисних навантажень
• Підтримує персистентність за допомогою механізму опитування, який безперервно отримує та виконує додатковий код

Ця модель безфайлового виконання підвищує прихованість та ускладнює виявлення за допомогою традиційних інструментів безпеки.

Послідовний посібник з дій після експлуатації

Незважаючи на відмінності в початковому доступі, операції LeakNet сходяться в передбачуваний робочий процес після компрометації. Така узгодженість надає захисникам цінні можливості для виявлення та порушення роботи до розгортання програм-вимагачів.

Типова послідовність атаки включає:

• Завантаження DLL-бібліотек для виконання шкідливих бібліотек, що постачаються завантажувачем
• Латеральний рух за допомогою таких інструментів, як PsExec, для розширення доступу до мережі
• Розвідка облікових даних через cmd.exe /c klist для ідентифікації активних сеансів автентифікації
• Поміщення та витік даних через корзини S3, маскування активності під легітимний хмарний трафік
• Заключний етап шифрування для розгортання програми-вимагача

Використання власних інструментів Windows та поширених хмарних сервісів дозволяє шкідливим діям інтегруватися у нормальну поведінку системи та мережі.

Профіль загрози: походження та сфера цільової атаки

З'явившись у листопаді 2024 року, LeakNet спочатку позиціонував себе як «цифровий наглядач», просуваючи теми прозорості та свободи Інтернету. Однак спостережувана активність свідчить про ширший та агресивніший масштаб операційної діяльності, включаючи атаки на промислові організації.

Невибіркова стратегія таргетування кампанії в поєднанні з масштабованими методами зараження підкреслює її намір максимізувати охоплення, а не зосередитися на конкретних секторах.

Оборонні наслідки: Передбачуваність як перевага

Хоча методи проникнення LeakNet еволюціонували, їхня залежність від повторюваного ланцюжка експлуатації має критичну слабкість. Кожен етап атаки, від виконання до латерального переміщення та витоку даних, відповідає певним поведінковим моделям.

Така послідовність дозволяє захисникам:

• Виявлення аномального використання легітимних системних інструментів
• Відстежуйте незвичайні шаблони виконання в пам'яті
• Виявлення підозрілих взаємодій із хмарним сховищем
• Переривання прогресу атаки до початку шифрування

Ключовий висновок очевидний: хоча початкові методи доступу можуть відрізнятися, базовий операційний план залишається стабільним, пропонуючи численні можливості для раннього виявлення та реагування.