«Солар»: азиатская группировка Obstinate Mogwai использует уязвимость десятилетней давности в целевых атаках на российские компании

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» заблокировали шпионскую активность азиатской группировки Obstinate Mogwai в инфраструктуре телеком-оператора. В атаке хакеры использовали старую, но не полностью устраненную вендором уязвимость десериализации в параметре ViewState (управляет состоянием веб-страниц среды ASP.NET, разработанной Microsoft). Она позволяет выполнять любые действия в атакованной системе – на сервере электронной почты Microsoft Exchange или веб-странице на базе ASP.NET. При этом сам факт ее эксплуатации крайне непросто обнаружить, а методика реагирования до сих пор не была подробно описана в профильных сообществах.

В конце 2023 – начале 2024 года эксперты Solar 4RAYS проводили расследование APT-атаки группировки Obstinate Mogwai на российскую телеком-компанию, среди клиентов которой – органы госвласти. В ходе работ специалисты обнаружили признаки успешной эксплуатации уязвимости параметра ViewState, которая известна еще с 2014 года. Она позволяет злоумышленникам исполнять произвольный код в системе и впоследствии красть, подменять или портить данные.

Расследование началось после того, как средства защиты зафиксировали в инфраструктуре телеком-компании подозрительную активность. К тому моменту злоумышленники уже создавали «плацдарм» для похищения конфиденциальных данных из самой компании и у ее клиентов.  Несколько раз эксперты Solar 4RAYS находили вредоносные инструменты группировки в атакованной сети и удаляли их. Но через некоторое время Obstinate Mogwai возвращались, пока все пути для них не были окончательно закрыты. За настойчивость команда Solar 4RAYS назвала группировку Obstinate Mogwai («упрямый демон»).

Для проникновения в сеть хакеры использовали уязвимость десериализации ненадежных данных в параметре ViewState среды ASP.NET. Сериализация в программировании – это процесс преобразования состояния объекта в форму, пригодную для сохранения или передачи, а десериализация – это процесс обратного преобразования данных в объект. Это необходимо для оптимизации приложений (например, при их взаимодействии друг с другом). Однако эти процессы часто содержат уязвимости, позволяющие злоумышленникам модифицировать данные и при десериализации исполнять произвольный код.

Уязвимость была частично закрыта в 2014 году. Тогда компания Microsoft, разработчик платформы ASP.NET, добавила в ее фреймворк механизм MAC-валидации данных при десериализации. Но оказалось, что злоумышленники могут обойти этот механизм, если знают ключи валидации ViewState. Для их получения нужно либо взломать IIS-сервер с ключами, либо добраться до него, взломав другие части сети организации. Возможно, осознавая сложность эксплуатации уязвимости, производитель оставил ее в статусе Won’t Fix (не будет исправлена). Однако практика показала, что такие целевые атаки вполне реальны – на сегодня в мире известно не менее 8 подобных кейсов.

В данном расследовании следы использования уязвимости десериализации ViewState обнаружились, когда злоумышленники стали отправлять на атакованную систему сериализованные инструкции для задания определенных настроек (гаджеты). В записях журналов Windows эксперты обнаружили, что после десериализации эти инструкции исполняются. В соответствии с логикой ASP.NET для успешной работы подобных гаджетов требуются ключи валидации. Эти обстоятельства и указали на возможный вектор атаки.

Кроме того, в определенный момент гаджет который позволял атакующим удаленно выполнять код с помощью десериализации, перестал работать правильно. Благодаря этому событию специалисты Solar 4RAYS сумели извлечь вредоносную нагрузку из сериализованных данных, понять, как Obstinate Mogwai выполняли команды на сервере заказчика и окончательно пресечь эту активность.

«У этой уязвимости любопытный статус: c одной стороны она старая и формально не является критической, что создаёт впечатление её относительной безопасности. С другой – она даёт злоумышленникам немало возможностей для развития атаки. Исчерпывающих инструкций по обнаружению и пресечению атак через ViewState в открытом доступе мы не нашли, поэтому с помощью нашего исследования хотим закрыть этот пробел», — сказал Антон Каргин, эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар».

Подобнее о том, как эффективно обнаруживать и останавливать атаки, совершённые с помощью уязвимости в десериализации ViewState в ASP.NET, читайте в блоге Solar 4RAYS.