Больше материалов: Boosty | Sponsr | TG

II. ПРОФИЛИРОВАНИЕ
Известно, что группа нацелена на широкий спектр
отраслей, включая финансовые учреждения,
здравоохранение, производство, образование, развлечения
и энергетический сектор. BianLian обычно атакует важные
цели из самых разных областей. К ним относятся
здравоохранение, финансы, государственное управление,
образование, юриспруденция и профессиональные услуги.
Группа также уделяет большое внимание сектору
образования. Группа ориентирована на различные отрасли,
включая, но не ограничиваясь ими: здравоохранение,
образование, госструктуры, профессиональные услуги,
производство, СМИ и развлечения, банковские и
финансовые услуги, энергетический сектор.
В секторе здравоохранения распространёнными
точками входа для BianLian являются серверы, ПК, базы
данных и медицинские записи. Растущую озабоченность
вызывает нацеленность на медицинские устройства, а не
только на сети. Это связано с конфиденциальными
данными, хранящимися в этих устройствах, включая
интеллектуальную собственность, коммерческую тайну,
личные данные и медицинские записи. В 2023 году в
Аннотация – В этом документе представлен анализ секторе здравоохранения по всему миру произошло более
программы-вымогателя Bian Lian и охватывает множество 630 инцидентов с программами-вымогателями, причем
аспектов программы-вымогателя, включая её оперативную более 460 из них затронули США
тактику, технические характеристики и последствия её В сфере образования часто используют устаревшее ПО
деятельности для кибербезопасности. с известными проблемами безопасности в качестве точки
входа. Это связано с неадекватным управлением
Анализ BianLian полезен специалистам по безопасности, ИТ-
исправлениями, что делает системы уязвимыми для атак.
персоналу и организациям в различных отраслях. Он даёт им
знания, необходимые для понимания ландшафта угроз, Поэтому BianLian нацелена на образовательные
прогнозирования потенциальных векторов атак и внедрения учреждения, используя эти уязвимости для получения
надёжных механизмов безопасности для снижения рисков, несанкционированного доступа к их системам.
связанных с атаками программ-вымогателей. Для государственных организаций точки входа в
BianLian аналогичны. Они используют уязвимости для
I. ВВЕДЕНИЕ перемещения по взломанным сетям незамеченными,
BianLian – это группа программ-вымогателей, которая используя специально разработанное вредоносное ПО.
действует с июня 2022 года в отношении организаций из Они также нацелены на протокол удалённого рабочего
критически важных секторов инфраструктуры в США и стола (RDP) и другие инструменты удалённого доступа.
Австралии и известна разработкой, развёртыванием и Для производственных BianLian обычно использует
использованием программ-вымогателей. известные уязвимости в системах, подключённых к
Интернету. Для этих организаций крайне важно уделять
Агентство по кибербезопасности и инфраструктурной
безопасности (CISA), Федеральное бюро расследований приоритетное внимание исправлению этих уязвимостей,
(ФБР) и Австралийский центр кибербезопасности (ACSC) чтобы предотвратить атаки. BianLian также нацелен на
выпустили рекомендации по снижению киберугроз от системы с использованием учётных RDP.
BianLian, включающие тактики, приёмы и процедуры В организациях, оказывающих профессиональные
(TTP), а также индикаторы компрометации (IoC), услуги, BianLian часто получает первоначальный доступ
помогающие организациям защититься от атак. через профессиональные услуги и действительные учётные
данные RDP в качестве общей точки входа. Кроме того,
Средний размер требований о выкупе, выдвигаемых было замечено, что группа использовала компрометацию
BianLian, варьируется. Согласно отчёту BeforeCrypt, электронной почты (BEC) в качестве средства доставки.
среднее требование о выкупе – в районе от 100 000 до 350
В энергетических организациях BianLian использует
000 долларов. В отчёте Halcyon говорится, что требования
различные тактики, включая фишинговые кампании и
о выкупе могут составлять в среднем около 3 миллионов
долларов, и достигают 20 миллионов долларов. Coveware, использование уязвимостей, для получения
консалтинговая фирма по безопасности, обнаружила, что несанкционированного доступа и шифрования файлов с
средняя сумма выкупа за третий квартал 2023 года целью получения выкупа. Также было замечено, что
составила 850 700 долларов США группа использует уязвимость Netlogon (CVE-2020–1472)
для подключения к Active Directory.
 Больше материалов: Boosty | Sponsr | TG
III. КАК РАБОТАЕТ BIANLIAN • Системные изменения и низкая
Группа обычно проникает, используя актуальные производительность: BianLian может вызывать
учётные данные RDP. Затем эксплуатируются известные заметные системные изменения и снижать
уязвимости и используются инструменты для обнаружения производительность заражённой системы
и сбора учётных данных. Оказавшись внутри, отключаются V. НАЧАЛЬНЫЕ ВЕКТОРЫ ДОСТУПА
антивирусное программное обеспечение, и изменяют
настройки системы. • Разведка: для выполнения сетевой разведки
BianLian использует такие инструменты, как
Программа-вымогатель шифрует файлы и добавляет к Advanced Port Scanner, SoftPerfect Network Scanner,
ним расширение .bianlian, оставляя в каждом затронутом SharpShares и PingCastle.
каталоге записку с требованием выкупа под названием
"Look at this instruction.txt". Первоначально группа • Скомпрометированные учётные данные RDP:
следовала модели двойного вымогательства, при которой Группа использует скомпрометированные учётные
они шифровали системы жертв после извлечения данных. данные RDP для получения начального доступа к
Однако с января 2023 года они перешли к модели сетям. Они используют эти действующие учётные
вымогательства, основанной в основном на эксфильтрации записи для доступа к сетям целей через RDP
(через протокол передачи файлов (FTP), Rclone или Mega
file-sharing services). • Spearphishing Emails: Первоначальный доступ к
целевой системе часто достигается с помощью
Однако в январе 2023 года группа изменила свою электронных писем, содержащих вредоносные
тактику. Вместо систем шифрования они перешли к модели вложения или ссылки.
вымогательства, основанной на эксфильтрации. Этот сдвиг
совпал с выпуском Avast дешифратора для программы- • Использование уязвимостей: В ландшафте угроз
вымогателя. В этой новой модели группа продолжает произошёл сдвиг: операторы программ-
красть данные, но больше не шифрует системы жертвы. вымогателей, включая BianLian, все чаще
Затем они угрожают обнародовать украденные данные, используют известные уязвимости для получения
если не будет выплачен выкуп. первоначального доступа
• Внешние удалённые службы: BianLian
IV. ПРИЗНАКИ BIANLIAN АТАКИ использует слабые места в доступных извне
• Сообщение о выкупе: Жертвы обычно получают удалённых службах, таких как RDP, чтобы
сообщение о шифровании или эксфильтрации закрепиться в целевых сетях
данных с требованием выкупа (файл «Look at this
instruction») • Использование недостатков ProxyShell: известно,
что группа использовала уязвимости ProxyShell для
• Расширения файла: Расширения файлов в получения первоначального доступа к сетям
заражённой системе изменены на ".bianlian"
• Использование брокеров начального доступа
• Звонки с угрозами: Сотрудники компаний-жертв (IAB): были случаи, когда компания BianLian
сообщали о получении телефонных звонков с использовала брокеров, которые специализируются
угрозами от лиц, связанных с группой на получении начального доступа к сетям и
последующей продаже этого доступа другим
• Криптовалютные кошельки: BianLian получает субъектам угроз
платежи в уникальных криптовалютных кошельках
для каждой компании-жертвы VI. IOCS
• Быстрое шифрование: BianLian известна своей Индикаторы компрометации (IoC), связанные с
исключительной скоростью шифрования файлов BianLianскими атаками программ-вымогателей, могут
предоставить ценную информацию для обнаружения этих
• Эксфильтрация данных: группа крадёт данные угроз и реагирования на них. Хотя конкретные IOC могут
жертвы по протоколу передачи файлов (FTP), различаться в зависимости от конкретной атаки, некоторые
Rclone или Mega, а затем вымогает деньги, угрожая общие IOC, связанные с программой-вымогателем
разглашением данных, если оплата не будет BianLian, включают:
произведена
• Хэши SHA-256: идентифицированы конкретные
• Spearphishing Emails: Первоначальный доступ к хэши, связанные с BianLian (например, anabolic.exe
целевой системе часто достигается с помощью (46d340eaf6b78207e24b6011422f1a5b4a566e493d72
электронных писем, содержащих вредоносные 365c6a1cace11c36b28b 64-разрядный исполняемый
вложения или ссылки. файл, скомпилированный с Golang версии 1.18.3.)
• Использование протокола удалённого рабочего • IP-адреса: Определённые IP-адреса были связаны
стола (RDP): Группа часто получает доступ к с атаками BianLian с помощью программ-
системам-жертвам с помощью действительных вымогателей, например 104.207.155[.]133
учётных данных RDP
 Больше материалов: Boosty | Sponsr | TG
• Изменения файлов: изменяются расширения всех также используют разведывательные вредоносные
зашифрованных файлов, добавляя .bianlian программы и пользовательские бэкдоры.
Оказавшись внутри сети, BianLian использует такие
• Записка с требованием выкупа: Наличие записки
инструменты, как PsExec и RDP, наряду с
с требованием выкупа в каждом уязвимом каталоге
действительными учётными записями для
• Сетевой трафик: Необычный сетевой трафик, распространения. Они используют командную оболочку и
поступающий на известные вредоносные IP-адреса собственные инструменты Windows для добавления
или домены, связанные с BianLian, например учётных записей пользователей на локальный удалённый
использовался netsh для добавления правила рабочий стол, изменения пароля добавленной учётной
брандмауэра для открытия 3389 на RDP записи и настройки правил брандмауэра Windows для
• Системные изменения: Изменения в системных разрешения входящего трафика RDP.
настройках или отключение антивирусного Группа также развёртывает пользовательский бэкдор на
программного обеспечения, в т.ч. встроенного основе Go, специфичный для каждой жертвы, и
устанавливает инструменты удалённого управления, такие
VII. C2C ИНФРАСТРУКТУРА как AnyDesk, SplashTop и TeamViewer. Они используют
сценарии PowerShell для сбора данных, которые затем
• Использование легитимного программного передаются по FTP и через Rclone.
обеспечения удалённого доступа: было замечено,
использование ПО удалённого доступа, такое как IX. ПО УДАЛЁННОГО ДОСТУПА, ИСПОЛЬЗУЕМОЕ BIANLIAN
TeamViewer, Atera и AnyDesk для установления
интерактивных каналов командования и контроля BianLian использует различные программы для
создания инфраструктуры C2 поскольку эти инструменты
• Расширение инфраструктуры: Группа быстро обычно используются в легитмных целях, таких как
расширяет свою инфраструктуру уровня C2, что предоставление удалённой технической поддержки.
свидетельствует об увеличении темпов работы • TeamViewer: широко используемое программное
• Пользовательский бэкдор на основе Go: после обеспечение для удалённого доступа и удалённого
получения доступа к сети группа развёртывает управления, которое позволяет пользователям
пользовательский бэкдор на основе Go, удалённо управлять компьютерами через Интернет
специфичный для каждой жертвы • Atera: платформа удалённого ИТ-управления,
разработанная для поставщиков управляемых услуг
• Использование сценариев PowerShell: Группа (MSP), которая обеспечивает удалённый
использует сценарии PowerShell для различных мониторинг и управление (RMM), автоматизацию
действий, включая эксфильтрацию данных профессиональных услуг (PSA) и возможности
удалённого доступа
• Использование инструментов с открытым
исходным кодом и сценариев командной строки: • SplashTop: инструмент удалённого доступа,
Группа использует инструменты с открытым который позволяет пользователям подключаться к
исходным кодом для обнаружения и сбора данных компьютерам и управлять ими с любого устройства
• AnyDesk: программное обеспечение для
• Использование IP-адресов: Группа использует удалённого рабочего стола, которое обеспечивает
различные IP-адреса для своей инфраструктуры C2. удалённый доступ к персональным компьютерам,
Например, IP-адрес 104.207.155[.]133 был связан с на которых запущено основное приложение
деятельностью группы Использование ПО RDP позволяет группе удалённо
управлять скомпрометированными системами, выполнять
VIII. СЕТЕВЫЕ УЯЗВИМОСТИ команды и совершать вредоносные действия. В обоих
BianLian использует уязвимости в сетях с помощью случаях группа развёртывает пользовательский бэкдор на
различных методов. Первоначальный доступ часто основе Go, специфичный для каждой жертвы, после
достигается с помощью электронных писем, содержащих получения доступа к сети. Этот бэкдор позволяет субъекту
вредоносные вложения, или путём использования угрозы устанавливать инструменты удалённого
известных уязвимостей в системах и сервисах. Известно, управления, и закрепления. Группа также создаёт или
что группа использовала действительные учётные данные активирует учётные записи администраторов и меняет их
протокола удалённого рабочего стола (RDP) и эксплойты пароли для дальнейшей защиты доступа.
для уязвимостей, таких как CVE-2020–1472. Это
A. TeamViewer и AnyDesk
критическая уязвимость в удалённом протоколе Netlogon
от Microsoft, который используется для различных задач, TeamViewer и AnyDesk пользуются популярностью у
связанных с аутентификацией пользователей и BianLian благодаря своим надёжным функциям,
компьютеров. Было замечено, чтопрограмма-вымогатель облегчающим удалённый доступ и контроль, которые
BianLian использует эту уязвимость для получения могут быть использованы в вредоносных целях.
несанкционированного доступа к доменам Windows. Они • Широкое использование и простота доступа:
TeamViewer и AnyDesk установлены на сотнях
миллионов устройств по всему миру, более чем на
 Больше материалов: Boosty | Sponsr | TG
400 миллионах устройств работает программное интеллекта. Хотя конкретное использование этих
обеспечение, из которых 30 миллионов возможностей группой BianLian неясно, они
подключены к TeamViewer в момент времени. потенциально могут быть использованы в
• Удалённая поддержка и доступ: обеспечивается злонамеренных целях.
удалённую поддержку, совместная работу и доступ • Создание сценариев: Atera позволяет создавать
к конечным устройствам. Эта функция позволяет сценарии, которые могут быть очень полезны для
злоумышленникам удалённо получить контроль BianLian group для автоматизации определённых
над окружением жертвы. задач в скомпрометированных системах
• Управление активами: TeamViewer и AnyDesk
C. Splashtop
предлагают возможности управления активами,
позволяющие удалённо управлять обновлениями Splashtop является популярным выбором BianLian
программного обеспечения, системы и благодаря надёжным функциям безопасности, часть из
развёртыванием исправлений. которых напрямую используется для управления
• Интеграция с другими инструментами устройством, обхода механизмов, закрепления, сокрытия и
удалённого доступа: TeamViewer и AnyDesk обеспечения защиты на уровне канала:
интегрируются с другими инструментами • Меры безопасности: используется шифрование,
удалённого доступа, такими как Splashtop и аутентификация пользователей и устройств, а
AnyDesk, предоставляя дополнительные пути также множество других мер безопасности. Все
доступа к скомпрометированным системам и удалённые сеансы шифруются сквозным способом
контроля над ними. с помощью TLS и 256-битного AES. Он также
• Меры безопасности: несмотря на меры включает в себя такие функции, как двухфакторная
безопасности AnyDesk и TeamViewer, аутентификация, многоуровневая защита паролем,
злоумышленники нашли способы использовать пустой экран, автоматическая блокировка экрана,
инструмент даже несмотря на аспекты сложных время ожидания сеанса и уведомление об
паролей, двухфакторной аутентификации, списков удалённом подключении
разрешений и обновлений ПО для предотвращения • Простота настройки и использования: Splashtop
несанкционированного доступа. прост в настройке и использовании, что делает его
удобным инструментом для удалённого доступа.
B. Atera
Он работает независимо от устаревшей ИТ-
Atera пользуется популярностью у гр BianLian из-за его инфраструктуры, его настройка занимает всего
надёжных функций и возможностей, которые могут быть несколько минут.
использованы во вредоносных целях: • Splashtop Connector: функция обеспечивает
• Удалённый мониторинг и управление (RMM): удалённый доступ к компьютерам, которые обычно
Atera обеспечивает мониторинг и оповещения в доступны только в локальной сети. Это позволяет
режиме реального времени, автоматизацию ИТ, пользователям подключаться к компьютерам,
управление исправлениями и расширенное поддерживающим протокол RDP, непосредственно
удалённое обслуживание. Это позволяет BianLian из Splashtop, без использования VPN или установки
group отслеживать взломанные системы и какого-либо агента удалённого доступа
управлять ими в режиме реального времени. • Детализированные разрешения: Splashtop
• Встроенный удалённый доступ: Atera предлагает детализированные разрешения,
интегрируется с Splashtop и AnyDesk, предоставляя позволяющие ИТ-подразделениям иметь полный
возможности удалённого доступа. Это позволяет контроль над защитой данных
BianLian group получать удалённый доступ к • Аутентификация устройства: Эта функция
скомпрометированным системам и управлять ими. добавляет дополнительный уровень безопасности,
• Управление активами и товарно- гарантируя, что только аутентифицированные
материальными запасами: Atera предоставляет устройства могут получить доступ к сети
возможности управления активами и товарно- • Единый вход (SSO): Эта функция упрощает
материальными запасами. Это может предоставить процесс входа в систему, облегчая пользователям
ценную информацию о взломанных системах. безопасный доступ к своим системам
• Автоматизация профессиональных услуг (PSA): • Модуль доступа по расписанию: Эта функция
Atera включает в себя такие возможности, как позволяет ИТ-подразделениям управлять
оформление билетов, выставление счетов и расписаниями и политиками, определяющими,
создание отчётов. Хотя эти функции когда пользователи и группы пользователей могут
предназначены для ИТ-специалистов, они могут получить доступ к определённым конечным точкам
быть злонамеренно использованы BianLian.
• Возможности искусственного интеллекта: Atera
включает в себя возможности искусственного