В декабре 2024 года киберэксперты сделали тревожное открытие: был найден открытый каталог, связанный с филиалом группы программ-вымогателей Fog. Этот каталог содержит сложный набор инструментов и скриптов, предназначенных для проведения комплексных киберопераций, включая разведку, эксплуатацию, горизонтальное перемещение и сохранение.
Способы получения доступа к сети
Первоначальный доступ к сети был получен с помощью скомпрометированных учетных данных SonicWall VPN. Инструменты, содержащиеся в каталоге, позволяли злоумышленникам:
- Красть учетные данные различными способами;
- Использовать уязвимости в Active Directory;
- Облегчать перемещение по уязвимым средам.
Ключевые инструменты и их функции
Среди известных инструментов можно выделить:
- Сканер SonicWall: предназначен для проверки подлинности и выполнения сканирования портов на устройствах SonicWall VPN с использованием скомпрометированных учетных данных.
- DonPAPI: извлекает учетные данные Windows Data Protection API (DPAPI).
- Certipy: взаимодействует со службами сертификации Active Directory для поиска уязвимых шаблонов сертификатов.
- Zer0dump: использует уязвимость Zerologon (CVE-2020-1472) для получения административных привилегий.
- AnyDesk: используется для поддержания постоянного доступа через автоматизированные процессы установки и настройки.
Техника и методы атак
Исполняемые файлы Sliver command-and-control (C2) предоставляют злоумышленникам контроль над скомпрометированными устройствами. Использование таких инструментов, как Proxychains и Powercat, позволяет скрытно перемещаться и осуществлять функции обратной оболочки. Proxychains направляют сетевой трафик через прокси-серверы, что минимизирует вероятность обнаружения.
Масштаб атаки и уязвимости
Атака охватила множество секторов, включая технологии, образование и логистику, с жертвами, расположенными в Европе и Северной и Южной Америке, особенно в:
- Италии,
- Греции,
- Бразилии,
- США.
Наличие взаимосвязанной инфраструктуры и размещение нескольких серверов у одного провайдера указывает на тщательно спланированную стратегию хакеров. Анализ также выявил схемы эксплуатации с помощью инструментов Pachine и noPac, использующих уязвимости Active Directory (CVE-2021-42278 и CVE-2021-42287) для повышения привилегий.
Заключение
Данная ситуация подчеркивает растущую сложность угроз со стороны программ-вымогателей. Необходимость усиления защитных мер во всех затронутых отраслях становится очевидной с учетом хорошо скоординированной работы злоумышленников и богатого набора инструментов, используемых для проведения многоплановых киберпреступных операций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новые угрозы кибербезопасности: Вымогатели Fog атакуют предприятия".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.