Преступники использовали специально разработанные инструменты, распространенные среди APT-группировок.
Эксперты в области кибербезопасности обнаружили интересный случай атаки, в ходе которой хакеры применили специально разработанные инструменты, распространенные среди APT-группировок.
По словам специалистов из компании Security Joes, атака была совершена на одну из компаний в индустрии азартных игр. Киберпреступники использовали сочетание специально разработанных и легкодоступных инструментов с открытым исходным кодом. Наиболее заметные примеры — модифицированная версия утилиты обратного туннелирования Ligolo и специальный инструмент для дампа учетных данных из LSASS.
Первоначальный доступ был получен через скомпрометированные учетные данные SSL-VPN сотрудников, за которыми последовало сканирование на предмет администраторов, брутфорс-атаки RDP и сбор учетных данных.
Последующие шаги включали получение доступа к дополнительным компьютерным системам с высокими привилегиями, развертывание специального прокси-туннелирования для безопасной связи и установку маячков Cobalt Strike.
Хотя в данном случае у злоумышленников не было возможности продвинуться дальше, следующим шагом могло быть развертывание полезной нагрузки программы-вымогателя.
Преступники также использовали утилиту Sockbot, написанную на языке программирования GoLang и основанную на инструменте обратного туннелирования Ligolo с открытым исходным кодом.
Отдельного внимания заслуживает пользовательский инструмент lsassDumper, также написанный на GoLang, используемый хакерами для автоматической эксфильтрации из процесса LSASS в службу transfer.sh. По словам экспертов, это первый раз, когда lsassDumper был обнаружен в реальных атаках.
Наконец, преступники использовали свободно доступный инструмент ADFind для сетевой рекогносцировки и сбора информации из Active Directory.
Первое — находим постоянно, второе — ждем вас