.MEDOC - это компания в Украине, которая занимается бухгалтерским программным обеспечением. У них много клиентов, и они распространяют свое программное обеспечение непосредственно своим клиентам. Примерно в апреле этого года их сеть была скомпрометирована, потому что злоумышленнику удалось получить украденные учетные данные, принадлежащие администратору. Используя эти учетные данные, злоумышленник смог войти в систему и начать изменять конфигурации и программное обеспечение сервера.
Злоумышленник изменил конфигурационный файл nginx.conf на сервере обновлений MEDoc, чтобы отменить запросы прокси на сервер, размещенный в OVH. Сервер использовался реселлером хостинга под названием THCServers.com. Этот сервер был взломан злоумышленником перед запуском атаки на MEDOC.
Затем злоумышленник модифицировал программное обеспечение учета MEDoc, чтобы включить свой собственный вредоносный код. Не зная об инфекции, MEDoc затем распространял скомпрометированное программное обеспечение для своих клиентов, как обычно. После установки на рабочую станцию модифицированное программное обеспечение каждые два минуты связывалось с зараженным сервером MEDOC NGINX, чтобы получить команды, которые злоумышленник хотел запустить.
Этот запрос к серверу MEDOC NGINX для команд был обращен проксимизированному на скомпрометированную команду и сервер управления OVH, контролируемый злоумышленником. Когда злоумышленник хотел отправить команды на зараженные рабочие станции, они просто установили новую команду на скомпрометированном OVH-сервере, после чего рабочие станции были послушно доставлены через скомпрометированный сервер NGINX.
Обобщить:
Злоумышленник модифицировал программное обеспечение учета MEDoc для извлечения команд с взломанного сервера обновлений MEDOC.
Это программное обеспечение было распространено среди клиентов.
Взломанный сервер MEDOC NGINX проксировал эти запросы на команды на взломанный сервер OVH.
Атакующий отправил команды обратно на взломанный сервер NGINX, которые были отправлены на взломанные рабочие станции, на которых запущен пакет учета MEDoc.
На следующей диаграмме показана конфигурация, созданная злоумышленником.
Это разумно, потому что оно уклончиво
Многие сетевые администраторы имеют системы обнаружения вторжений в своих сетях. Одним из методов вторжения, которые ищут системы IDS, является сообщение от вредоносного ПО на сервер управления и управления (C & C). В системах IDS имеется база данных показателей компромисса или МОК. Эти IOC включают IP-адреса известных серверов C & C.
Если злоумышленник в этом случае напрямую связался с взломанным программным обеспечением MEDoc на своем сервере C & C, сетевой IDS обнаружит его, а затем заблокировал запрос и предупредил сетевого администратора. Вместо этого сетевые администраторы увидели, что программное обеспечение MEDOC взаимодействует с сервером обновлений MEDOC, как и ожидалось, и предположил, что все в порядке.
Как распределенный Ransomware Attacker
После того, как злоумышленник контролировал достаточно большое количество машин, используя вышеупомянутую технику, они просто выполнили команду, которая заставила контролируемые машины извлекать ransomware и устанавливать ее. Это было так просто. Остальное - рассказ о заражении Retsomeware Petya / Nyetya / NotPetya, о котором вы недавно узнали в новостях.
Вредоносная программа PHP, используемая в этой атаке, имеет красочную историю
Команда Cisco Talos также обнаружила вредоносное ПО PHP на скомпрометированной машине NGINX со следующим путем: http: //www.me-doc [.] Com [.] Ua / TESTUpdate / medoc_online.php [Квадратные скобки включены для безопасности.]
Нам удалось получить образец вредоносного ПО от партнеров по обмену информацией, а также пароль для его расшифровки. Сюрприз, удивление: вредоносное ПО - наш старый друг «ПАС». В прошлом году в декабре мы написали подробный анализ вредоносной программы PHP, используемой в взломе выборов в США . Вредоносное ПО было выпущено Департаментом внутренней безопасности США в рамках набора показателей компромисса, связанного с взломом выборов. Затем мы проанализировали вредоносное ПО и обнаружили, что он широко известен, широко используется, свободно доступен и известен как PAS.
Мы отслеживали сайт, который предоставляет вредоносное ПО. В то время он был доступен из: http: // profexer. [Name] /pas/download.php
Этот сайт теперь отключен, и не зря. Кто-то разместил ссылку на отчет DHS и наше сообщение в блоге на форумах на rdot.org, где зависает автор, который идет от profexer . Когда он обнаружил, что его веб-оболочка и веб-сайт были связаны с взломом выборов, он, по-видимому, нервничал и забрал свой сайт в автономном режиме. С тех пор он не работает.
Вредоносная программа, которую команда Cisco Talos обнаружила в атаке Ryomware Nyetya, представляет собой версию PAS. После доступа к вредоносному ПО с помощью веб-интерфейса и ввода пароля для его расшифровки это выглядит так:
на 15:45 про АТБ и Новую Почту 
