Makop ransomware: GuLoader och privilegieeskalering i attacker mot indiska företag

Författare: Ilia Dafchev, Darrel Virtusio

Sammanfattning

Makop, en ransomware-variant som härstammar från Phobos, fortsätter att utnyttja exponerade RDP-system samtidigt som den lägger till nya komponenter som lokala privilegieeskalering-kryphål och inläsare av skadlig programvara till sitt traditionella verktygskit.

Attacken börjar vanligtvis med RDP-exploitation, följt av nätverksskannrar, verktyg för lateral rörelse och utnyttjande av privilegieeskalering, innan man går vidare till kryptering eller avbryter om angriparna inte kan kringgå den befintliga säkerhetslösningen.

Angriparna använder en blandning av färdiga verktyg inklusive nätverksskannrar, AV-killers och många lokala privilegieeskalering kryphål, tillsammans med vilseledande fil namn för att undvika upptäckt.

GuLoader, en trojan av typen downloader, används för att leverera sekundära payloads, vilket visar på en utveckling i Makops metodik genom att integrera fler tekniker för att kringgå säkerhetsåtgärder och ytterligare mekanismer för leverans av skadlig kod.

Majoriteten av attackerna (55%) riktar sig mot företag i Indien, medan incidenter även rapporteras i Brasilien, Tyskland och andra regioner.

Inledning

Makop är en ransomware-variant som först observerades omkring 2020 och som generellt betraktas som en variant av Phobos-familjen. Nyligen identifierade forskare vid Acronis TRU ny aktivitet och nya verktyg kopplade till Makop, vilket ledde till en djupare undersökning av flera aktuella ransomware-fall för att bättre förstå hur operatörerna genomför sina attacker.

Det mönster som framträdde var att angripare föredrar att arbeta på ett sätt som kräver låg komplexitet och liten ansträngning. De flesta offer komprometterades via RDP och ofta använde angriparna därefter färdiga verktyg för upptäckt och lateral förflyttning, såsom nätverksskannrar, local privilege escalation exploits (LPE), AV-killers såsom sårbara drivrutiner, processavslutare, riktad avinstallationsprogramvara, verktyg för åtkomst till inloggningsuppgifter såsom Mimikatz och andra steg från kill chain.

Det var intressant att se deras samling av lokala privilegiee-skaleringsexploateringar och att vi vid några tillfällen såg GuLoader användas. GuLoader är en typ av skadlig programvara av typen downloader som först upptäcktes i slutet av 2019 och är känd för att leverera olika typer av second-stage malware. Det är känt för att sprida skadlig programvara som AgentTesla, FormBook, XLoader, Lokibot och mer.

Makops metoder

Makops attacker följer i regel ett välbekant mönster. Ransomware-operatörerna får initial åtkomst genom att utnyttja offentligt exponerade och osäkra RDP-tjänster (Remote Desktop Protocol). De förlitar sig vanligtvis på brute-force- eller ordboksattacker för att knäcka svaga eller återanvända inloggningsuppgifter. Väl inne i systemet förbereder angriparna sina verktyg för nätverksskanning, privilegieeskalering, inaktivering av säkerhetsprogramvara, dumpning av inloggningsuppgifter och slutligen distribution av krypteringsprogrammet.

Efter den inledande fasen fortsätter angriparna med upptäckt, undvikande av försvar, utökning av behörigheter och lateral rörelse, även om stegen inte alltid sker i en specifik ordning. I vissa fall avbryter angriparna sina angrepp när deras verktyg upptäcks av säkerhetslösningen. Men ibland gör de ytterligare ansträngningar för att kringgå säkerhetslösningen genom att använda VMProtect-packade prover av samma verktyg eller inaktivera säkerhetslösningen, antingen genom att manuellt försöka avinstallera den eller genom att använda hackverktyg. Om de även vid detta tillfälle misslyckas, ger de upp och lämnar offret.

Den observerade exekveringskedjan som Makop-operatörerna använde i sina senaste attacker illustreras i diagrammet nedan.

Makops verktygslåda

Makops verktyg släpps oftast antingen i nätverksmonterade RDP-delningar (som “\\tsclient\”) eller inuti användarensmusik-katalog. I vissa fall använde angriparna även Nedladdningar, Skrivbord, Dokument eller i roten av C:-enheten. Ofta hade undermappar namn som “Bug” eller “Exp.” Själva krypteringsprogrammet använder också vanligtvis ett av följande filnamn: bug_osn.exe, bug_hand.exe, 1bugbug.exe, bugbug.exe, taskmgr.exe, mc_osn.exe, mc_hand.exe och varianter av dessa med ett prefix av en punkt (t.ex. “.taskmgr.exe”).

Initial tillgänglighet

Makop-operatörer är kända för att utnyttja svaga RDP-inloggningsuppgifter för att få tillgång till offrens miljö. RDP är ett populärt sätt för cyberbrottslingar att angripa företag då många av dessa företag fortfarande använder svaga inloggningsuppgifter och saknar multifaktorautentisering (MFA), vilket gör dem sårbara för brute force-attacker, en vanlig taktik bland ransomwaregrupper.

Under vår undersökning upptäckte vi specifikt användningen av NLBrute. Det är ett äldre hacking-verktyg som såldes på cyberbrottsforum redan 2016. Inte långt efter lanseringen dök en piratkopierad version av NLBrute upp, vilket gjorde att den blev mycket populär bland cyberbrottslingar.

NLBrute kräver information såsom en lista över mål-IP-adresser som har exponerat RDP (ofta på standardporten 3389, även om detta kan vara anpassat) tillsammans med listor över kända användarnamn och lösenord som ska användas för brute force-attacker såsom ordboksattacker eller lösenordsspridning. Även om RDP-exploitation inte är den mest sofistikerade typen av intrång, är det fortfarande en av de mest effektiva teknikerna för att möjliggöra ransomware-attacker. När Makop-operatörerna väl har fått tillgång via RDP kan de börja röra sig lateralt genom organisationens infrastruktur och maximera sin påverkan.

Nätverksskanning och lateral rörelse

För upptäckt och lateral rörelse dök flera verktyg upp i vår telemetri. NetScan användes oftast, med Advanced IP Scanner som ett alternativ i andra fall.

Advanced IP Scanner skannar lokala nätverk för att identifiera aktiva värdar och öppna tjänster, vilket hjälper angripare att kartlägga mål för lateral rörelse.

Hotaktörer har kombinerat dessa verktyg med Advanced Port Scanner och Masscan för portskanning. Dessa verktyg används ofta av hotaktörer för att kartlägga nätverk och infrastruktur och lokalisera värdefulla värdar och tjänster som stöd för laterala rörelser. Det är inte bara att dessa verktyg är mycket effektiva, utan de kan också smälta in i legitim administrativ verksamhet.

Försvarsundvikande

Flera AV-killers sågs användas av operatörerna, inklusive verktyg som Defender Control och Disable Defender för att inaktivera Windows Defender. Båda verktygen är lätta och effektiva verktyg för att tillfälligt inaktivera funktioner i Microsoft Defender.

BYOVD-tekniker utnyttjas också genom att använda sårbara drivrutiner som hlpdrv.sys och ThrottleStop.sys. ThrottleStop.sys är en legitim, signerad drivrutin som utvecklats av TechPowerUp för programmet ThrottleStop, ett verktyg som är utformat för att övervaka och korrigera problem med CPU-throttling. Sårbarheten ThrottleStop (CVE-2025-7771) beror på hur drivrutinen hanterar minnesåtkomst. Angripare kan utnyttja detta för att ta kontroll, vilket i slutändan leder till att säkerhetsverktyg inaktiveras.

En annan sårbar drivrutin är hlpdrv.sys. Denna drivrutin, när den registreras som en tjänst, är känd för att få åtkomst på kernelnivå och potentiellt avsluta EDR-lösningar. Båda drivrutinerna har använts i tidigare ransomware-kampanjer – specifikt av MedusaLocker, Akira och Qilin.

Vi upptäckte också att hotaktörerna använde en specialanpassad avinstallationsprogramvara för att ta bort Quick Heal AV. Quick Heal AV är ett antivirus- och slutpunktssäkerhetsprogram från Quick Heal Technologies (Indien) som erbjuder skydd mot skadlig kod för både privatpersoner och företagskunder.

Användningen av ett skräddarsytt avinstallationsprogram för Quick Heal AV stämmer överens med våra telemetridata som visar att offren huvudsakligen befann sig i Indien. Denna riktade borttagning tyder på att angriparna anpassade delar av sin verktygslåda beroende på måloffrets region.

Slutligen missbrukade de också applikationer som Process Hacker och IOBitUnlocker. Båda applikationerna är legitima men missbrukas av hotaktörer för att enkelt avsluta processer och ta bort program.

Privilegiumeskalering

Flera lokala privilegiumeskalering (LPE) sårbarheter, från äldre avslöjanden till de senaste, har utnyttjats.

CVE-2016-0099

CVE-2017-0213

CVE-2018-8639

CVE-2019-1388

CVE-2020-0787

CVE-2020-0796

CVE-2020-1066

CVE-2021-41379

CVE-2022-24521

De sårbarheter som utnyttjas i dessa fall utnyttjar Windows-komponenter, såsom BITS, Win32k, KS/SMB-drivrutiner, Windows-installationsprogram, leverantörs-IOCTL etc. Makop-operatörerna utnyttjade dessa specifika sårbarheter eftersom de alla fokuserade på samma plattform, många har offentligt tillgängliga PoC:er som gör det enkelt att skapa vapen, och de ger pålitligt systemprivilegier, vilket är precis vad ransomware behöver för att maximera sin effekt. Utbudet av utnyttjade CVE:er visar också att gruppen har flera LPE-primitiv i sin verktygslåda som den kan falla tillbaka på om en misslyckas. I vår telemetri var sårbarheterna CVE-2017-0213, CVE-2018-8639, CVE-2021-41379 och CVE-2016-0099 bland de mest använda av angriparna, vilket tyder på att dessa sårbarheter är tillförlitliga och effektiva i attackerna.

Autentiseringsuppgifter för åtkomst

Angripare använder autentiseringsuppgifts-dumpare och brute force-verktyg för att samla in känsliga data. De förlitar sig på verktyg som Mimikatz, LaZagne och NetPass för att extrahera sparade lösenord, cachelagrade autentiseringsuppgifter och autentiseringstokens. De använder också brute force-verktyg som CrackAccount och AccountRestore för att bryta sig in i ytterligare konton. De stulna inloggningsuppgifterna möjliggör lateral rörelse och ger angriparna tillgång till fler system inom offrets infrastruktur, vilket ökar ransomwarens påverkan. Många ransomware-grupper följer samma mönster, vilket höjer hur effektiva dessa verktyg är för att uppnå angriparnas mål.

Bland verktygen för autentiseringsuppgifts-dumpning är Mimikatz det mest använda. Detta verktyg för efterutnyttjande extraherar inloggningsuppgifter direkt från Windows minne, inklusive lösenord i klartext, NTLM-hashar, Kerberos-biljetter och annan känslig information som hanteras av Local Security Authority (LSA).

Samtidigt kompletterar LaZagne Mimikatz genom att fokusera på lokalt lagrade inloggningsuppgifter i olika applikationer. Detta verktyg med öppen källkod stöder webbläsare, Wi-Fi-profiler, e-postklienter, databaser och Windows-autentiseringsuppgifter.

Återställning av nätverkslösenord (NetPass) riktar sig mot nätverksrelaterade inloggningsuppgifter och återställer lösenord för mappade enheter, VPN-anslutningar, fjärrskrivbordssessioner och andra Windows-nätverksfunktioner. Detta gör det möjligt för angripare att snabbt få tillgång till lösenord som sparats av operativsystemet.

Slutligen fungerar andra brute force-verktyg som AccountRestore på ett annat sätt än de ovan nämnda verktygen för att hämta inloggningsuppgifter. Dessa verktyg testar flera lösenordskombinationer för att få tillgång till konton.

GuLoader

Utöver de verktyg som nämns ovan fanns det fall där GuLoader placerades i samma katalog som andra verktyg och användes för att leverera ytterligare payloads. Användningen av laddare för att distribuera ransomware-krypterare är en vanlig taktik bland ransomware-grupper. Ransomware-grupper som Qilin , Ransomhub , BlackBasta och Rhysida har använt laddare i tidigare kampanjer, men detta verkar vara det första dokumenterade fallet där Makop distribuerats via en laddare.

När GuLoader har installerats i systemet kan det nu distribuera sina payloads.

Filväg

Kommandorad

Beskrivning

%USERPROFILE$\Music\1\BUG\TreasureRoberts.exe

“%USERPROFILE$\Music\1\BUG\TreasureRoberts.exe”

Exekvering av GuLoader, släpper ett VBS-skript för att installera skadlig programvara.

%WINDIR%\System32\WScript.exe

"%USERPROFILE%\Music\1\BUG\67138435cf99c.vbs”

Installation av GuLoader

%USERPROFILE%\Music\1\BUG\.mc_fxt.exe

Makop ransomware

%USERPROFILE%\Music\1\BUG\.mc_n1tro.exe

Makop ransomware

%USERPROFILE%\Music\1\BUG\.mc_p1z.exe

Makop ransomware

Drabbade länder

Den största andelen av de organisationer som utsattes för attacker (55 % av alla Makop-attacker) fanns i Indien, med ett mindre antal i Brasilien och Tyskland och enstaka incidenter i andra länder. Denna fördelning betyder inte nödvändigtvis att Makop riktar in sig på ett specifikt land mer än andra, utan kan vara ett resultat av att fler företag har lägre säkerhetsnivå. Makops operatörer verkar agera opportunistiskt och fokuserar på nätverk där svagheter minskar den insats som krävs för initial intrång, efterföljande kompromettering och kryptering.

Slutsats

Makop-ransomwarekampanjer understryker hotet från angripare som utnyttjar välkända sårbarheter och svaga säkerhetsrutiner. Genom att utnyttja exponerade RDP-system tillsammans med en rad standardverktyg, från nätverksskannrar till lokala privilegieeskaleringsexploater, visar motståndarna en metod som kräver liten ansträngning men är mycket effektiv. Integrationen av tekniker, såsom användning av GuLoader för sekundär leverans av payload och skräddarsydda taktiker baserade på målregioner, understryker ytterligare behovet för organisationer att införa robusta säkerhetsåtgärder, inklusive stark autentisering och regelbunden patchhantering.

Sammantaget kan till synes vardagliga ingångspunkter som osäker RDP leda till betydande säkerhetsöverträdelser. Företag över hela världen, särskilt de med kända säkerhetsbrister, bör kontinuerligt omvärdera och stärka sitt skydd mot ransomware och andra cyberhot.