Атака на южнокорейские учреждения: тактика и инструменты злоумышленников

Недавние результаты исследований, проведенных исследователями Hunt, раскрывают информацию о новой кампании по вторжению в южнокорейские организации. Волна атак использует веб-сервер, на котором были размещены модифицированные инструменты для последующей эксплуатации, в частности Cobalt Strike Cat (CS Cat).

Характеристики атаки

Согласно данным, сервер, управлявшийся в сети EDGENAP LTD в Японии, стал общедоступным менее чем за сутки. На нем был скомпилированный в Rust исполняемый файл для Windows, обеспечивающий функции CS Cat. Это подчеркивает стратегический подход злоумышленников к доставке вредоносных программ и дальнейшей эксплуатации их возможностей.

Используемые инструменты

На сервере также были обнаружены многочисленные инструменты с открытым исходным кодом, включая:

• SQLMap
• dirsearch
• Web-SurvivalScan

Это говорит о систематическом методе выявления уязвимостей в веб-приложениях. Проверка метаданных и контента предоставляет основания для предположения, что несколько атак на правительственные учреждения и коммерческие структуры могли быть удачными.

Разведывательные усилия злоумышленников

Злоумышленник составил значительный список из более чем 1000 доменов, связанных с южнокорейскими правительственными учреждениями и предприятиями, что свидетельствует о подготовительных разведывательных усилиях перед осуществлением атак. Для облегчения этих процессов использовался Python скрипт под названием urls.py, который обрабатывал выходные данные Web-SurvivalScan и экспортировал структурированные данные в CSV-файлы.

Стратегии злоумышленников

Команды SQLMap были зафиксированы во вложенной папке, фиксируя попытки внедрения SQL-кода в южнокорейские домены, однако степень их успешности остается неясной. Примечательно, что были получены учетные данные с южнокорейской доски объявлений, что указывает на намерение злоумышленника собрать конфиденциальную информацию.

Функциональность Cobalt Strike Cat

Функциональность Cobalt Strike Cat включает использование Google 2FA для входа на сервер управления и веб-доставку по сценарию через PowerShell для начальной загрузки. Две системы-жертвы установили маяки вскоре после первоначального подключения, подтверждая продолжающиеся вторжения.

Исполняемые файлы и их функции

Исследователи обнаружили несколько исполняемых файлов, помеченных как ma.exe, которые действуют как маяки Cobalt Strike. Они используют гибкий профиль jQuery C2 и обмениваются данными через определенные порты, поддерживая контроль над скомпрометированными устройствами.

Анализ скомпилированных файлов показал, что они выполняют функции загрузчиков Cobalt Strike beacon, предназначенные для выполнения шеллкода. Это повышает скрытность и эффективность в средах, защищенных мерами безопасности.

Выводы

Кампания демонстрирует непрерывную эволюцию методов кибератак, которые комбинируют передовые средства защиты от вредоносного ПО с индивидуализированными методами разведки и сложными стратегиями эксплуатации. Это подчеркивает необходимость повышения уровня безопасности в организациях, особенно тех, которые работают с конфиденциальной информацией.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.