Недавний инцидент с группой программ-вымогателей, известной как «Interlock», выделяет сложность многоступенчатых атак в киберпространстве. В ходе этого инцидента злоумышленники использовали широкий спектр методов для компрометации и утечки данных из сети организации-жертвы, что подчеркивает необходимость усовершенствования мер кибербезопасности.
Методы атаки
Злоумышленники применили следующий подход для осуществления атаки:
- Использование взломанного легального веб-сайта для распространения вредоносного ПО SocGholish.
- Применение социальной инженерии, направляющей пользователей к поддельному PHP-скрипту, замаскированному под проверку подлинности.
- Запуск загрузки полезной нагрузки JavaScript при взаимодействии пользователей с поддельной проверкой.
Получение доступа
Как только SocGholish получал доступ к системе жертвы, он внедрял приложение NodeJS, создавая HTTP-туннель для доставки дополнительной полезной нагрузки. Вредоносная программа устанавливала бэкдор с использованием NetSupportRAT, что обеспечивало постоянный контроль над зараженными устройствами. Это было осуществлено через:
- Использование BITSAdmin для загрузки вредоносного ПО с определенных URL-адресов.
- Разведывательные действия с помощью сканеров портов.
- Тактику повышения привилегий для взлома учетных записей администраторов.
Последствия и эксфильтрация данных
В результате атаки злоумышленники изменили учетные данные сервера Active Directory, что привело к массовому сбросу паролей и фактически лишило организацию доступа к клиенту Microsoft 365. Данные были эксфильтрованы с помощью AzCopy, законного инструмента управления данными Azure, который передавал конфиденциальные файлы в управляемый злоумышленником большой двоичный объект Azure. Это демонстрирует новую тенденцию среди операторов программ-вымогателей использовать облачные сервисы для кражи данных.
Шифрование и требования о выкупе
На этапе шифрования атаки программа-вымогатель Interlock была распространена по сети через PsExec, что привело к масштабному шифрованию файлов и созданию уведомлений о требовании выкупа. Использование таких распространенных инструментов, как PsExec и AzCopy, для вредоносных целей подчеркивает эволюцию тактики вымогателей.
Новые стратегии атак
Интеграция SocGholish, традиционно ассоциированной с программами, похищающими информацию, указывает на изменение стратегий атак. Особенно стоит отметить компонент социальной инженерии, который включает в себя тактику «проверки человеком», что представляет собой инновационный подход, ранее не наблюдавшийся в подобных случаях с программами-вымогателями.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Многоступенчатая атака киберпреступников: анализ инцидента с Interlock".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.