Русскоязычные вымогатели переоснащают хакерские инструменты других APT

Русскоязычные вымогатели переоснащают хакерские инструменты других APT

Хакеры использовали в ходе атак инструменты постэксплуатации, такие как ADFind, NetScan, SoftPerfect и LaZagne.

Русскоязычная вымогательская группировка предположительно атаковала неназванную организацию в сфере азартных игр в Европе и Центральной Америке. По словам исследователей из израильской фирмы Security Joes, преступники использовали в ходе атаки специальные инструменты, разработанные другими APT-группировками, такими как иранская MuddyWater.

Хакеры использовали украденные учетные данные для получения несанкционированного доступа к сети жертвы, что в конечном итоге привело к установке полезной нагрузки Cobalt Strike на скомпрометированных системах.

Атака произошла в феврале 2022 года, когда злоумышленники использовали инструменты постэксплуатации, такие как ADFind, NetScan, SoftPerfect и LaZagne. Также был использован исполняемый файл AccountRestore для подбора учетных данных администратора и форк инструмента обратного туннелирования под названием Ligolo. Модифицированный вариант инструмента Ligolo под названием Sockbot, представляет собой бинарный файл на языке Golang, предназначенный для незаметного и безопасного раскрытия внутренних активов из скомпрометированной сети.

Эксперты связали атаку с русскоязычной группировкой из-за совпадения артефактов с распространенными наборами инструментов для программ-вымогателей. Кроме того, один из исполняемых файлов (AccountRestore) содержит встроенные ссылки на русском языке.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!