A „Obscura” nevű új zsarolóprogram rövid idő alatt került reflektorfénybe: a Huntress elemzői augusztus végén egy domain controlleren észlelték, a BleepingComputer szeptember 24-én részletes technikai összefoglalót közölt, a CYFIRMA pedig szeptember 26-i heti jelentésében külön kiemelte. A minta Windows-környezeteket céloz, és szervezeteken belüli gyors terjedésre optimalizált megoldásokat használ.
Mi történik a támadás során?
A megfigyelések szerint az Obscura Go-ban készült, a fertőzött hálózatban a domain controlleren is felbukkant, mégpedig a NETLOGON/SYSVOL megosztásokban. Innen a tartományvezérlők közötti replikáció miatt a bináris könnyen eljut több gépre, a futtatást pedig ütemezett feladatok (pl. „SystemUpdate”) indítják. A program adminjogot igényel, a helyi helyreállítást pedig a Volume Shadow Copy (VSS) törlésével nehezíti.
Miért különösen kockázatos?
- Infrastruktúra-szintű hatás: a DC-n lévő NETLOGON/SYSVOL elérésével a kártevő gyorsan „szétrepülhet” a teljes tartományban.
- Megzavart helyreállítás: a VSS-példányok törlése megakaszthatja a lokális visszaállítást.
- Jó célpontválasztás: vállalati Windows-környezetek, AD-s infrastruktúra – ahol a replikáció előnyükre válhat a támadóknak.
Fő technikai jegyek
| Tulajdonság | Leírás |
|---|---|
| Célrendszer | Windows, tartományi környezetek |
| Nyelv / build | Go-alapú bináris |
| Terjedési mechanizmus | NETLOGON/SYSVOL elérés, DC-replikáció; ütemezett feladatok (pl. „SystemUpdate”) |
| Helyreállítás gátlása | VSS (Volume Shadow Copy) törlése |
| Kiterjesztés / jegyzet | „.obscura” kiterjesztés; README-OBSCURA.txt váltságlevél |
Mit tegyen egy vállalat most?
- AD/DC higiénia: valós idejű riasztások NETLOGON/SYSVOL módosításokra; GPO-k és ütemezett feladatok auditja.
- Hozzáférés-kezelés: adminjogok minimalizálása, LAPS/privileged access menedzsment, szigorú RDP-szabályok (VPN, MFA, IP-szűrés).
- Mentési stratégia: gyakori, offline/immutábilis mentések; visszaállítási próbák rendszeresen.
- EDR/XDR észlelés: viselkedés- és anomália-alapú detekció a DC-ken és végpontokon.
- Incidensforgatókönyv: gyakorolt IR-terv, gyors izoláció (DC, fájlszerverek), jogi és kommunikációs lépések rendben.
Kitekintés
A jelenlegi publikációk alapján az Obscura még fejlesztés alatt álló, de célzottan AD-s környezetekre optimalizált variánsnak tűnik. Ha a támadók tovább csiszolják a laterális mozgást és a tartományi terítést, a család a következő hónapok egyik „kedvelt” vállalati fenyegetésévé válhat.
