Palo Alto Networks опубликовали разбор деталей атак группы Muddled Libra

Источником стало расследование случая осенью 2025 года, в ходе которого внутри инфраструктуры пострадавшей организации обнаружили скрытую виртуальную машину злоумышленников. Её содержимое позволило восстановить рабочую схему действий группы и понять, как именно строится проникновение и развитие атаки. Это передаёт Securitylab.

По данным отчёта, нападавшие получили несанкционированный доступ к среде VMware vSphere и вскоре развернули собственную виртуальную машину, использовав её как опорную точку. Через неё велась разведка сети, загрузка утилит и закрепление присутствия через управляющий канал. Для расширения доступа применялись похищенные цифровые сертификаты и поддельные билеты аутентификации.

В течение первых часов атакующие остановили несколько контроллеров домена, подключили их диски и скопировали базы Active Directory вместе с системными ветками реестра. Эти данные были расшифрованы, после чего получены хэши учётных записей пользователей. Затем была запущена утилита ADRecon для подробного сбора сведений о домене, политиках, сервисах и учётных записях. Отдельное внимание уделялось сервисным идентификаторам, связанным с MSSQL, Exchange, Hyper-V и системами резервного копирования.

Для устойчивого доступа использовался туннель через инструмент Chisel, загруженный из облачного хранилища. Также применялись легитимные административные программы, включая PsExec и ADExplorer. Такой подход позволял действовать без сложного вредоносного кода и сливаться с обычной активностью администраторов.

Отдельным этапом стала работа с данными в среде Snowflake. Злоумышленники изучали содержимое баз и пытались выгрузить файлы во внешние сервисы. Из-за блокировок популярных площадок внутри сети им приходилось подбирать доступные файлообменники через поисковые запросы. Позднее предпринимались попытки выгрузки почтовых архивов Outlook в формате PST и отправки их в собственное хранилище Amazon S3 через специальный клиент.

Журналирование показало, что встроенные защитные механизмы Microsoft Defender обнаруживали и блокировали часть используемых инструментов, однако атакующие продолжали перемещения по сети через RDP и SSH, используя скомпрометированные учётные записи. Активность продолжалась около 15 часов, после чего доступ был пресечён службой защиты компании.