Het Sophos X-Ops Incident Response-team heeft de tactieken van een ransomwaregroep genaamd Mad Liberator onderzocht. Dit is een vrij nieuwe dreigingsactor, die voor het eerst opdook medio juli 2024. In dit artikel bekijken we bepaalde technieken die de groep gebruikt, met inbegrip van de populaire remote-access-applicatie Anydesk. We documenteren de interessante social-engineeringtactieken die de groep heeft gebruikt en bieden richtlijnen over hoe u uw risico om slachtoffer te worden kunt minimaliseren en, voor onderzoekers, hoe u potentiële activiteiten van deze groep kunt zien.

Voordat we beginnen, moeten we opmerken dat Anydesk legitieme software is die de aanvallers in deze situatie misbruiken. De aanvallers misbruiken die applicatie op de manier die we hieronder zullen laten zien, maar vermoedelijk zou elk programma voor externe toegang geschikt zijn voor hun doeleinden. Ook zullen we van tevoren opmerken dat SophosLabs een detectie heeft, Troj/FakeUpd-K, voor de beschreven binaire bestanden.

Wat is Mad Liberator?

De activiteit die Sophos X-Ops tot nu toe heeft waargenomen, geeft aan dat Mad Liberator zich richt op data-exfiltratie; in onze eigen ervaring hebben we nog geen incidenten gezien van data-encryptie die te herleiden zijn tot Mad Liberator. Dat gezegd hebbende, suggereert informatie op watchguard.com dat de groep af en toe encryptie gebruikt en ook dubbele afpersing uitvoert (data stelen, vervolgens de systemen van het slachtoffer encrypteren en dreigen de gestolen data vrij te geven als het slachtoffer niet betaalt om te decrypteren).

Typisch voor dreigingsactoren die data-exfiltratie uitvoeren, exploiteert Mad Liberator een leksite waarop het slachtoffergegevens publiceert, in een poging om slachtoffers extra onder druk te zetten om te betalen. De site beweert dat de bestanden “gratis” kunnen worden gedownload.

Figuur 1: De openbaarmakingssite van Mad Liberator

Interessant genoeg gebruikt Mad Liberator social engineeringtechnieken om toegang tot de omgeving te verkrijgen, gericht op slachtoffers die gebruikmaken van tools voor externe toegang die op eindpunten en servers zijn geïnstalleerd. Anydesk wordt bijvoorbeeld veel gebruikt door IT-teams om hun omgevingen te beheren, met name bij het werken met externe gebruikers of apparaten.

Hoe de aanval werkt

Anydesk werkt door een unieke ID toe te wijzen, in dit geval een tiencijferig adres, aan elk apparaat waarop het is geïnstalleerd. Zodra de applicatie op een apparaat is geïnstalleerd, kan een gebruiker verzoeken om toegang tot een extern apparaat om de controle over te nemen door de ID in te voeren, of een gebruiker kan een andere gebruiker uitnodigen om de controle over zijn apparaat over te nemen via een externe sessie.

Figuur 2: Een Anydesk-sessie met het tiencijferige adres prominent weergegeven

We weten op dit moment niet hoe, of of, de aanvaller een specifieke Anydesk ID target. In theorie is het mogelijk om gewoon door potentiële adressen te fietsen totdat iemand een verbindingsverzoek accepteert; met potentieel 10 miljard 10-cijferige nummers lijkt dit echter enigszins inefficiënt. In een geval dat het Incident Response-team onderzocht, vonden we geen aanwijzingen voor enig contact tussen de Mad Liberation-aanvaller en het slachtoffer voordat het slachtoffer een ongevraagd Anydesk-verbindingsverzoek ontving. De gebruiker was geen prominent of openbaar zichtbaar personeelslid en er was geen identificeerbare reden waarom hij of zij specifiek werd getarget.

Wanneer een Anydesk-verbindingsverzoek wordt ontvangen, ziet de gebruiker de pop-up die wordt weergegeven in Afbeelding 3. De gebruiker moet de verbinding autoriseren voordat deze volledig tot stand kan worden gebracht.

Afbeelding 3: Een verzoek van een “gebruiker” om verbinding te maken via Anydesk; zoals Anydesk-beheerders weten, maar eindgebruikers mogelijk niet, kan iedereen een willekeurige gebruikersnaam kiezen bij het instellen van Anydesk, dus een aanvaller zou zichzelf zelfs “Technische ondersteuning” of iets dergelijks kunnen noemen

In het geval dat ons IR-team behandelde, wist het slachtoffer dat Anydesk werd gebruikt door de IT-afdeling van hun bedrijf. Ze gingen er daarom van uit dat het inkomende verbindingsverzoek gewoon een gebruikelijke instantie was van de IT-afdeling die onderhoud uitvoerde, en klikten daarom op Accepteren.

Zodra de verbinding tot stand was gebracht, stuurde de aanvaller een binair bestand naar het apparaat van het slachtoffer en voerde het uit. In ons onderzoek heeft dit bestand de titel “Microsoft Windows Update” gekregen, met de SHA256-hash:

f4b9207ab2ea98774819892f11b412cb63f4e7fb4008ca9f9a59abc2440056fe

Dit binaire bestand was een heel eenvoudig programma dat een splash screen liet zien dat een Windows Update-scherm nabootste. Het scherm was geanimeerd, waardoor het leek alsof het systeem werd bijgewerkt, zoals weergegeven in Afbeelding 4.

Figuur 4: Een al te onopvallend Windows Update-scherm… of toch niet?

Dit programma voerde geen andere activiteit uit, waardoor het onwaarschijnlijk is dat het door de meeste antimalwarepakketten direct als schadelijk wordt gedetecteerd. (Sophos heeft een detectie (Troj/FakeUpd-K) ontwikkeld voor dit specifieke binaire bestand en zal de ontwikkelingen hierover blijven volgen.)

Op dit punt, om te voorkomen dat de list ontdekt en gestopt zou worden, nam de aanvaller een extra stap. Omdat dit simpele programma afgesloten had kunnen worden als de gebruiker toevallig op de “Esc”-toets had gedrukt, gebruikte de aanvaller een functie binnen Anydesk om invoer van het toetsenbord en de muis van de gebruiker uit te schakelen.

Omdat het slachtoffer zijn toetsenbord niet meer kon gebruiken en het bovenstaande scherm voor elke Windows-gebruiker onopvallend leek, was hij zich niet bewust van de activiteit die de aanvaller op de achtergrond uitvoerde. Hij had dit ook niet zomaar kunnen stoppen, zelfs niet als hij argwanend was geweest.

De aanvaller ging verder met het benaderen van het OneDrive-account van het slachtoffer, dat was gekoppeld aan het apparaat, evenals bestanden die waren opgeslagen op een centrale server en toegankelijk waren via een toegewezen netwerkshare. Met behulp van de Anydesk FileTransfer-faciliteit stal en exfiltreerde de aanvaller deze bedrijfsbestanden. Vervolgens gebruikte de aanvaller Advanced IP Scanner om te bepalen of er andere apparaten van belang waren die konden worden geëxploiteerd binnen hetzelfde subnet. (Uiteindelijk verhuisden ze niet lateraal naar andere apparaten.)

Zodra de gestolen bestanden onder zijn controle waren, voerde de aanvaller een ander programma uit dat talloze losgeldnotities creëerde. Interessant genoeg werden deze losgeldnotities gegenereerd op meerdere locaties op een gedeelde netwerklocatie die was toegewezen aan het apparaat, in plaats van op het apparaat van het slachtoffer zelf. Deze losgeldnotities kondigden aan dat er gegevens waren gestolen en bevatten details over hoe het slachtoffer het losgeld moest betalen om openbaarmaking van die gestolen bestanden te voorkomen. (Tactieken als deze zullen maar al te bekend zijn bij lezers van ons onderzoek naar druktactieken die momenteel worden gebruikt door ransomware-bendes.)

Figuur 5: De losgeldbrief die het slachtoffer heeft ontvangen; let op de dreiging van reputatieschade en schade aan de regelgeving, en let er ook op dat er geen losgeldbedrag wordt genoemd

Het nep-Windows Update-scherm beschermde de acties van de aanvaller tegen zichtbaarheid op het scherm van het slachtoffer. De aanval duurde bijna vier uur, waarna de aanvaller het nep-updatescherm beëindigde en de Anydesk-sessie beëindigde, waarmee hij de controle over het apparaat weer aan het slachtoffer gaf. We merkten wel op dat het binaire bestand handmatig door de aanvaller werd geactiveerd; zonder geplande taak of automatisering om het opnieuw uit te voeren zodra de dreigingsactor weg was, bleef het bestand gewoon op het getroffen systeem staan.

Lessen en verzachtingen

Dit was een eenvoudige aanval die ervan uitging dat het slachtoffer geloofde dat de Anydesk-aanvraag deel uitmaakte van de dagelijkse activiteiten. Voor zover onze onderzoekers konden vaststellen, hield de aanval geen extra social engineering-inspanningen van de aanvaller in — geen e-mailcontact, geen phishingpogingen, enzovoort. Als zodanig benadrukt het het belang van voortdurende, up-to-date personeelstraining en geeft het aan dat organisaties een duidelijk beleid moeten opstellen en bekendmaken over hoe IT-afdelingen contact opnemen en externe sessies regelen.

Naast het opleiden van gebruikers raden we beheerders ten zeerste aan om de Anydesk Access Control Lists te implementeren, zodat alleen verbindingen vanaf specifieke apparaten worden toegestaan. Zo wordt het risico op dit type aanval aanzienlijk geminimaliseerd. AnyDesk biedt waardevolle richtlijnen over hoe u dit kunt doen, evenals aanvullende veiligheidsmaatregelen via de volgende link:

Extra advies vindt u hier:

Na de conclusie van dit artikel volgen procedurele aantekeningen voor onderzoekers.

Conclusie

Ransomwaregroepen komen en gaan voortdurend, en Mad Liberator kan een belangrijke nieuwe speler blijken te zijn, of gewoon een eendagsvlieg. De social-engineeringtactieken die de groep in het hierboven beschreven geval gebruikte, zijn echter opmerkelijk – maar ze zijn niet uniek. Aanvallers zullen altijd verschillende tactieken blijven ontwikkelen en gebruiken om te proberen zowel het menselijke element als de technische beveiligingslagen te exploiteren.

Het kan een lastige opgave zijn om beveiliging en bruikbaarheid in evenwicht te brengen bij het implementeren van tools binnen een omgeving, vooral wanneer deze tools helpen om externe toegang te vergemakkelijken voor juist die mensen die belast zijn met de zorg voor bedrijfskritische systemen. We raden echter altijd aan om bij implementatie van applicaties via een netwerk, met name applicaties die kunnen worden gebruikt om externe toegang tot apparaten te verkrijgen, de beveiligingsaanbevelingen door de leverancier zorgvuldig te beoordelen. Wanneer deze aanbevelingen niet worden opgevolgd, moet die keuze worden gedocumenteerd als onderdeel van uw risicomanagementproces, zodat deze voortdurend kan worden beoordeeld of zodat andere mitigerende maatregelen kunnen worden getroffen om ervoor te zorgen dat deze binnen de risicobereidheid van uw organisatie blijft.

Bijlage: Onderzoek naar Mad Liberator

Als u een incident onderzoekt waarbij u vermoedt dat aanvallers Anydesk hebben misbruikt, zoek dan naar nuttige gebeurtenis- en verbindingsgegevens die zijn opgeslagen in de volgende bestanden:

• C:\ProgramData\AnyDesk\verbindingsspoor.txt
• C:\ProgramData\AnyDesk\ad_svc.trace
• C:\Gebruikers\%\AppData\Roaming\AnyDesk\ad.trace

Het connection_trace.txt bestand bevat alleen de Address ID van recente verbindingen en is op zichzelf misschien niet zo nuttig. Maar het stelt u in ieder geval in staat om de aanstootgevende ID te beperken.

Figuur 6: Een blik op connection_trace.txt, met informatie over het resultaat van elke gebeurtenis

Er zijn vier mogelijke toestanden voor elke verbinding:

• AFGEWEZEN – de eindgebruiker heeft een verbindingsverzoek afgewezen
• Gebruiker – de eindgebruiker heeft een verbindingsverzoek geaccepteerd
• Passwd – wachtwoord dat door het externe systeem wordt ingevoerd om toegang te krijgen
• Token – Optie ‘Automatisch inloggen’ aangevinkt door het externe systeem

De bestanden ad_svc.trace en ad.trace bevatten behoorlijk wat gedetailleerde informatie. Deze kunnen worden geopend en bekeken met een teksteditor zoals Kladblok en bevatten samen met andere gebeurtenissen ook verbindingsgegevens. Het bestand ad_svc.trace bevat details van de bron-IP-adressen van externe verbindingen.

Figuur 7: Een blik op ad_svc.trace; een twijfelachtige verbinding is gemarkeerd in de afbeelding

Het bestand ad.trace bevat logboeken met betrekking tot bestandsoverdrachten en gebeurtenissen, bijvoorbeeld wanneer gebruikersinvoer is uitgeschakeld.

Figuur 8: De invoeropties van de gebruiker zijn uitgeschakeld

Figuur 9: De bestandsoverdrachtgebeurtenissen

Hoewel de logs aangeven welke map en hoeveel bestanden er tijdens de data-exfiltratie zijn overgedragen, wordt helaas niet elke bestandsnaam in detail vermeld.

Als u Sophos Intercept X hebt geïnstalleerd, is het verzamelen van deze gegevens vereenvoudigd. De volgende OSquery kan worden gebruikt binnen Live Discover in het Sophos Central Dashboard:

SELECT 
   strftime('%Y-%m-%dT%H:%M:%S', substr(grep.line, instr(grep.line, 'info') + 5, 19)) AS Datetime,
   grep.path,
   CASE
      WHEN grep.pattern = 'Logged in from' THEN 'Login'
      WHEN grep.pattern = 'Preparing files' THEN 'File Transfer from this Host'
      WHEN grep.pattern = 'Accepting from' THEN 'Accepted Connection Request'
      WHEN grep.pattern = 'Incoming session request:' THEN 'Incoming Session Request'
      WHEN grep.pattern = 'Remote OS:' THEN 'Remote OS'
      WHEN grep.pattern = 'Disabling user input.' THEN 'Disable Mouse and Keyboard'
      WHEN grep.pattern = 'Download started' THEN 'File Transfer to this Host'
      WHEN grep.pattern = 'Received a sysinfo request.' THEN 'System Information Request'
      WHEN grep.pattern = 'Authenticated with permanent token' THEN 'Authenticated with Token'
      WHEN grep.pattern = 'Authenticated with correct passphrase' THEN 'Authenticated with Password'
      WHEN grep.pattern = 'Profile was used:' THEN 'Profile Assigned'
   END AS 'Operation',
   grep.line as Data
FROM file
CROSS JOIN grep ON (grep.path = file.path)
WHERE
(
   file.path LIKE 'C:\ProgramData\AnyDesk\ad_svc.trace'
   OR file.path LIKE 'C:\Users\%\AppData\Roaming\AnyDesk\ad.trace'
)
AND
(
   --AnyDesk
   grep.pattern = 'Logged in from'
   OR grep.pattern = 'Preparing files'
   OR grep.pattern = 'Accepting from'
   OR grep.pattern = 'Incoming session request:'
   OR grep.pattern = 'Remote OS:'
   OR grep.pattern = 'Disabling user input.'
   OR grep.pattern = 'Download started'
   OR grep.pattern = 'Received a sysinfo request.'
   OR grep.pattern = 'Authenticated with permanent token'
   OR grep.pattern = 'Authenticated with correct passphrase'
   OR grep.pattern = 'Profile was used:'
   )
   ORDER BY Datetime DESC

De query helpt zelfs om de gegevens te sorteren in een bruikbare tabel, zoals te zien is in Figuur 10.

Figuur 10: De uitvoer van de hierboven getoonde OSquery, in een handig tabelformaat

Dankbetuigingen

Harshal Gosalia, Ollie Jones en Andy French hebben bijgedragen aan dit onderzoek.