- 19,438
- 40
- 8 Ноя 2022
Взлом был обнаружен только после тщательного анализа системных журналов.
С начала 2025 года в Японии активизировалась кибератака, проводимая неизвестной группой злоумышленников, использующих Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся . Это критическая ошибка удалённого выполнения кода (RCE) в реализации PHP-CGI для Windows, позволяющая атакующим получить первоначальный доступ к системам жертв. Для просмотра ссылки Войди или Зарегистрируйся исследователи Cisco Talos, злоумышленники активно применяют плагины Cobalt Strike под названием TaoWu для постэксплуатационных действий.
Кибератака затронула компании из различных секторов, включая технологии, телекоммуникации, развлечения, образование и электронную коммерцию. После компрометации атакующие запускают PowerShell-скрипты для загрузки обратного HTTP-оболочки Cobalt Strike, обеспечивая себе длительный удалённый доступ к системе.
Далее следуют разведка, повышение привилегий и горизонтальное перемещение по сети с помощью инструментов JuicyPotato, RottenPotato, SweetPotato, Fscan и Seatbelt. Для сохранения присутствия злоумышленники модифицируют реестр Windows, создают запланированные задачи и настраивают пользовательские сервисы через плагины TaoWu.
Чтобы скрыть свою активность, атакующие стирают системные журналы событий с помощью утилиты wevtutil, устраняя следы вмешательства. Завершающий этап атаки включает выполнение команд Mimikatz для кражи паролей и NTLM-хэшей из памяти заражённой машины. Анализ командных серверов (C2), используемых в атаке, показал, что киберпреступники оставили директории с инструментами открытыми для доступа через интернет. Эти серверы, размещённые на платформе Alibaba Cloud, содержали полный набор вредоносных инструментов.
Среди обнаруженных утилит оказались:
С начала 2025 года в Японии активизировалась кибератака, проводимая неизвестной группой злоумышленников, использующих Для просмотра ссылки Войди
Кибератака затронула компании из различных секторов, включая технологии, телекоммуникации, развлечения, образование и электронную коммерцию. После компрометации атакующие запускают PowerShell-скрипты для загрузки обратного HTTP-оболочки Cobalt Strike, обеспечивая себе длительный удалённый доступ к системе.
Далее следуют разведка, повышение привилегий и горизонтальное перемещение по сети с помощью инструментов JuicyPotato, RottenPotato, SweetPotato, Fscan и Seatbelt. Для сохранения присутствия злоумышленники модифицируют реестр Windows, создают запланированные задачи и настраивают пользовательские сервисы через плагины TaoWu.
Чтобы скрыть свою активность, атакующие стирают системные журналы событий с помощью утилиты wevtutil, устраняя следы вмешательства. Завершающий этап атаки включает выполнение команд Mimikatz для кражи паролей и NTLM-хэшей из памяти заражённой машины. Анализ командных серверов (C2), используемых в атаке, показал, что киберпреступники оставили директории с инструментами открытыми для доступа через интернет. Эти серверы, размещённые на платформе Alibaba Cloud, содержали полный набор вредоносных инструментов.
Среди обнаруженных утилит оказались:
- Browser Exploitation Framework (BeEF) — инструмент для эксплуатации уязвимостей браузеров и выполнения команд в их контексте.
- Viper C2 — модульный фреймворк для удалённого выполнения команд и генерации обратных оболочек Meterpreter.
- Blue-Lotus — JavaScript-вебшелл для XSS-атак, позволяющий делать скриншоты, красть cookie-файлы, получать обратные оболочки и создавать новые аккаунты в системах управления контентом.
- Источник новости
- www.securitylab.ru
