- 19,444
- 40
- 8 Ноя 2022
История о том, как два цифровых Голиафа решили объединиться.
Две киберпреступные группировки Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся предположительно начали работать вместе и проводят атаки на российские организации. Об этом говорится в Для просмотра ссылки Войди или Зарегистрируйся Лаборатории Касперского, где отмечаются совпадения в используемых инструментах и серверах управления, ранее связывавшихся только с Twelve.
В сентябре 2024 года Head Mare использовала Для просмотра ссылки Войдиили Зарегистрируйся в WinRAR ( Для просмотра ссылки Войди или Зарегистрируйся ) для начального доступа. Затем на устройства устанавливали вредоносное ПО, включая вымогатели Для просмотра ссылки Войди или Зарегистрируйся для Windows и Для просмотра ссылки Войди или Зарегистрируйся для Linux (ESXi). Twelve, в свою очередь, проводила разрушительные атаки, используя публичные инструменты для шифрования данных и уничтожения инфраструктуры с помощью вайперов.
В новых атаках Head Mare применяет CobInt — бэкдор, ранее использовавшийся группами ExCobalt и Crypt Ghouls. Также был замечен новый имплант PhantomJitter, позволяющий выполнять удаленные команды. CobInt также применялся группой Twelve, что подтверждает связь между ними и другими группами.
Для доступа к инфраструктуре Head Mare использует фишинг, уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (CVE-2021-26855) в Microsoft Exchange Server, а также взлом сетей подрядчиков, чтобы через них попасть к основным целям — это называется атакой через доверенные связи.
Через ProxyLogon Head Mare разворачивает CobInt и закрепляется на сервере, создавая новых привилегированных пользователей вместо планировщика задач. Через эти аккаунты злоумышленники подключаются по RDP и вручную запускают инструменты. Для маскировки зловреды получают имена вроде «calc.exe», удаляются журналы событий, а трафик скрывается с помощью Gost и Cloudflared.
В атаке используются разные инструменты:
В конце атаки злоумышленники оставляют записку с контактами в Telegram для переговоров о восстановлении доступа к зашифрованным данным.
Две киберпреступные группировки Для просмотра ссылки Войди
В сентябре 2024 года Head Mare использовала Для просмотра ссылки Войди
В новых атаках Head Mare применяет CobInt — бэкдор, ранее использовавшийся группами ExCobalt и Crypt Ghouls. Также был замечен новый имплант PhantomJitter, позволяющий выполнять удаленные команды. CobInt также применялся группой Twelve, что подтверждает связь между ними и другими группами.
Для доступа к инфраструктуре Head Mare использует фишинг, уязвимость Для просмотра ссылки Войди
Через ProxyLogon Head Mare разворачивает CobInt и закрепляется на сервере, создавая новых привилегированных пользователей вместо планировщика задач. Через эти аккаунты злоумышленники подключаются по RDP и вручную запускают инструменты. Для маскировки зловреды получают имена вроде «calc.exe», удаляются журналы событий, а трафик скрывается с помощью Gost и Cloudflared.
В атаке используются разные инструменты:
- quser.exe, tasklist.exe и netstat.exe — для сбора информации о системе;
- fscan и SoftPerfect Network Scanner — для разведки в сети;
- ADRecon — для анализа Active Directory;
- Mimikatz, secretsdump, ProcDump — для кражи паролей;
- mRemoteNG, smbexec, wmiexec, PAExec, PsExec — для удалённого управления;
- Rclone — для вывода данных;
- LockBit 3.0 и Babuk — для финального шифрования.
В конце атаки злоумышленники оставляют записку с контактами в Telegram для переговоров о восстановлении доступа к зашифрованным данным.
- Источник новости
- www.securitylab.ru
