- 19,455
- 40
- 8 Ноя 2022
Системы больниц стали инструментом шпионажа.
Специалисты Orange Cyberdefense Для просмотра ссылки Войдиили Зарегистрируйся новую кампанию под названием Green Nailao, которая затронула несколько европейских медучреждений во второй половине 2024 года. Атаки включали использование инструментов ShadowPad и PlugX, а также внедрение ранее неизвестного шифровальщика NailaoLocker.
Злоумышленники использовали Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 8.6) в Check Point VPN, которая позволяла извлекать хэши паролей и получать доступ к учетным записям пользователей. Затем проводилась разведка сети и боковое перемещение с помощью RDP. В ходе атаки использовался метод DLL Sideloading, а также механизм внедрения кода через реестр Windows. В конечном итоге, на системах жертв был развернут модифицированный вариант ShadowPad.
Инфраструктура C2-серверов отличалась использованием поддельных сертификатов, имитирующих компании Intel и Dell. Сервера хостились на платформе VULTR. Для анонимизации атакующие использовали скомпрометированные IoT-устройства и узлы Proton VPN.
На заключительном этапе атаки хакеры пытались извлечь критически важные файлы, включая базу данных Active Directory (ntds.dit), содержащую пароли пользователей и другие учетные данные. Затем киберпреступники распространяли NailaoLocker, который шифровал файлы с использованием алгоритма AES-256-CTR, добавляя расширение «.locked». Вымогатели требовали выкуп в биткойнах и связаться через одноразовую почту ProtonMail.
Анализ NailaoLocker показал, что программа недостаточно продумана: она не сканирует сетевые диски, не завершает процессы, мешающие шифрованию, и не содержит механизмов обхода отладки. Это заставило исследователей предположить, что шифровальщик мог использоваться в качестве отвлекающего маневра, маскирующего основную цель — кибер Для просмотра ссылки Войдиили Зарегистрируйся .
Хотя связь Green Nailao с конкретной Для просмотра ссылки Войдиили Зарегистрируйся -группировкой не установлена, эксперты считают, что используемые инструменты и тактики соответствуют типичным китайским операциям. ShadowPad традиционно связывают с кибершпионажем, а трехкомпонентная схема загрузки вредоносных файлов напоминает методы BRONZE UNIVERSITY. Кроме того, атаки на здравоохранение в интересах китайских кибергруппировок фиксировались и ранее.
Специалисты Orange Cyberdefense Для просмотра ссылки Войди
Злоумышленники использовали Для просмотра ссылки Войди
Инфраструктура C2-серверов отличалась использованием поддельных сертификатов, имитирующих компании Intel и Dell. Сервера хостились на платформе VULTR. Для анонимизации атакующие использовали скомпрометированные IoT-устройства и узлы Proton VPN.
На заключительном этапе атаки хакеры пытались извлечь критически важные файлы, включая базу данных Active Directory (ntds.dit), содержащую пароли пользователей и другие учетные данные. Затем киберпреступники распространяли NailaoLocker, который шифровал файлы с использованием алгоритма AES-256-CTR, добавляя расширение «.locked». Вымогатели требовали выкуп в биткойнах и связаться через одноразовую почту ProtonMail.
Анализ NailaoLocker показал, что программа недостаточно продумана: она не сканирует сетевые диски, не завершает процессы, мешающие шифрованию, и не содержит механизмов обхода отладки. Это заставило исследователей предположить, что шифровальщик мог использоваться в качестве отвлекающего маневра, маскирующего основную цель — кибер Для просмотра ссылки Войди
Хотя связь Green Nailao с конкретной Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
