Группировка Obstinate Mogwai использует баг десятилетней давности в атаках на российские компании

Специалисты центра изучения киберугроз Solar 4RAYS группы компаний «Солар» заявили о блокировке шпионской активности APT-группы Obstinate Mogwai в инфраструктуре неназванного российского оператора связи. Для проведения атаки хакеры использовали давно известную, но не полностью устранённую уязвимость десериализации в параметре ViewState, отвечающем за управление состоянием веб-страниц в среде ASP.NET, созданной компанией Microsoft.

Уязвимость даёт возможность осуществлять любые действия в атакованной системе — на сервере электронной почты Microsoft Exchange или веб-странице на основе ASP.NET. Эксперты отмечают, что обнаружить факт её эксплуатации непросто, а методы противодействия ранее не описывались в специализированных сообществах.

О проблеме с параметром ViewState стало известно ещё в 2014 году. Она позволяет злоумышленникам выполнять произвольный код в системе и впоследствии красть, заменять или повреждать данные.

Расследование началось после того, как системы защиты обнаружили подозрительную активность в инфраструктуре неназванной телекоммуникационной компании. Выяснилось, что к тому времени злоумышленники уже создали «плацдарм» для хищения конфиденциальных данных самой компании и её клиентов.

Эксперты несколько раз обнаруживали вредоносные инструменты группы в атакованной сети и удаляли их, однако спустя некоторое время Obstinate Mogwai возвращались. Все пути для них были окончательно перекрыты лишь тогда. За настойчивость специалисты назвали эту хакерскую группу Obstinate Mogwai («Упрямый демон») и пообещали в будущем опубликовать подробный отчёт об этой группе.

Для проникновения в сеть хакеры использовали уязвимость десериализации ненадежных данных в параметре ViewState среды ASP.NET. Сериализация — это процесс преобразования состояния объекта в форму, подходящую для сохранения или передачи, а десериализация — процесс обратного преобразования данных в объект. Это необходимо для оптимизации приложений (например, при их взаимодействии друг с другом). Однако эти процессы часто содержат уязвимости, позволяющие злоумышленникам изменять данные и при десериализации выполнять произвольный код.

Уязвимость была частично исправлена всё в том же 2014 году. Компания Microsoft, разработавшая платформу ASP.NET, добавила в её фреймворк механизм MAC-валидации данных при десериализации. Тем не менее выяснилось, что злоумышленники могут обойти этот механизм, если им известны ключи валидации ViewState.

Чтобы получить ключи, необходимо либо взломать IIS-сервер с ключами, либо добраться до него, взломав другие части сети организации. Вероятно, осознавая сложность эксплуатации уязвимости, производитель решил оставить её в статусе Won’t Fix (не будет исправлена). Однако практика показывает, что подобные целевые атаки вполне реальны — на сегодняшний день в мире известно не менее восьми подобных случаев.

Специалисты Solar 4RAYS обнаружили следы использования уязвимости десериализации ViewState, когда злоумышленники начали отправлять в атакованную систему сериализованные инструкции для задания определённых настроек (гаджеты). В журналах операционной системы Windows было замечено, что после десериализации эти инструкции выполнялись. Согласно логике ASP.NET, для корректной работы таких гаджетов необходимы ключи валидации. Эти факты позволили предположить возможный вектор атаки.

Более того, в определённый момент гаджет, позволявший атакующим удалённо выполнять код с помощью десериализации, начал работать неправильно. Благодаря этому эксперты смогли извлечь вредоносную нагрузку из сериализованных данных, понять, как Obstinate Mogwai выполняли команды на сервере жертвы, и окончательно прекратить эту активность.