Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Атака через фальшивый установщик: угроза кибербезопасности 2024

11
2 мин
В мае 2024 года произошел значительный инцидент в сфере кибербезопасности, когда хакер реализовал сложную атаку, используя поддельный установщик Zoom. Атакующий внедрил вредоносную программу через клонированный веб-сайт, что выявляет новые угрозы для пользователей и организации. Основные этапы кибератаки: После девяти дней работы вредоносная программа SectopRAT активировала дополнительные полезные приложения, среди которых: Эти инструменты позволили злоумышленнику выполнять различные команды для разведки в сети и осуществлять горизонтальные перемещения по различным сервисам. Используя Cobalt Strike framework, хакер установил точки подключения, что в конечном итоге привело к доступу к контроллеру домена через протокол RDP. В ходе атаки был использован QDoor — вредоносная программа с функциональностью прокси-сервера, что дало возможность туннелировать RDP-трафик через скомпрометированные серверы. Затем злоумышленник развернул программу-вымогатель BlackSuit с помощью утилиты PsExec: Атаку
Оглавление
Источник: thedfirreport.com
Источник: thedfirreport.com

В мае 2024 года произошел значительный инцидент в сфере кибербезопасности, когда хакер реализовал сложную атаку, используя поддельный установщик Zoom. Атакующий внедрил вредоносную программу через клонированный веб-сайт, что выявляет новые угрозы для пользователей и организации.

Краткий обзор атаки

Основные этапы кибератаки:

  • Использование поддельного установщика, созданного с помощью Inno Setup.
  • Запуск загрузчика d3f@ckloader, который внедрял последующие загрузки.
  • Создание исключений для Защитника Windows и подключение к страницам сообщества Steam.
  • Инсталляция вредоносного ПО SectopRAT и активация дополнительных устройств.

Подробности выполнения атаки

После девяти дней работы вредоносная программа SectopRAT активировала дополнительные полезные приложения, среди которых:

  • Платформа Brute Ratel (Badger).
  • Маяк Cobalt Strike beacon.

Эти инструменты позволили злоумышленнику выполнять различные команды для разведки в сети и осуществлять горизонтальные перемещения по различным сервисам. Используя Cobalt Strike framework, хакер установил точки подключения, что в конечном итоге привело к доступу к контроллеру домена через протокол RDP.

Ключевые инструменты и техники

В ходе атаки был использован QDoor — вредоносная программа с функциональностью прокси-сервера, что дало возможность туннелировать RDP-трафик через скомпрометированные серверы. Затем злоумышленник развернул программу-вымогатель BlackSuit с помощью утилиты PsExec:

  • Распространение программы на удаленные хосты.
  • Удаление теневых копий томов для усложнения восстановления.
  • Шифрование файлов и оставление записки с требованием выкупа.

Методы уклонения и координации

Атакующий применил ряд методов уклонения, создавая скрытые атрибуты для файлов и каталогов. Использование шаблонов сетевого трафика, связанных с Cobalt Strike и SectopRAT, позволило передавать команды и сохранять контроль над выполнением атаки. Также хакер использовал множество каналов C2, демонстрируя сложность координации своих действий.

Заключение

Общий срок, предшествовавший развертыванию программы-вымогателя, составил более 194 часов. Это свидетельствует о высоком уровне планирования и исполнения атакующих действий, что подчеркивает необходимость повышенной бдительности как со стороны пользователей, так и системы кибербезопасности организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Атака через фальшивый установщик: угроза кибербезопасности 2024".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

1
Кибербезопасность
25,6 тыс интересуются