СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.05.2025
#ИБ#Инфра#Облака

Многоступенчатая атака киберпреступников: анализ инцидента с Interlock

Многоступенчатая атака киберпреступников: анализ инцидента с Interlock

Недавний инцидент с группой программ-вымогателей, известной как «Interlock», выделяет сложность многоступенчатых атак в киберпространстве. В ходе этого инцидента злоумышленники использовали широкий спектр методов для компрометации и утечки данных из сети организации-жертвы, что подчеркивает необходимость усовершенствования мер кибербезопасности.

Методы атаки

Злоумышленники применили следующий подход для осуществления атаки:

  • Использование взломанного легального веб-сайта для распространения вредоносного ПО SocGholish.
  • Применение социальной инженерии, направляющей пользователей к поддельному PHP-скрипту, замаскированному под проверку подлинности.
  • Запуск загрузки полезной нагрузки JavaScript при взаимодействии пользователей с поддельной проверкой.

Получение доступа

Как только SocGholish получал доступ к системе жертвы, он внедрял приложение NodeJS, создавая HTTP-туннель для доставки дополнительной полезной нагрузки. Вредоносная программа устанавливала бэкдор с использованием NetSupportRAT, что обеспечивало постоянный контроль над зараженными устройствами. Это было осуществлено через:

  • Использование BITSAdmin для загрузки вредоносного ПО с определенных URL-адресов.
  • Разведывательные действия с помощью сканеров портов.
  • Тактику повышения привилегий для взлома учетных записей администраторов.

Последствия и эксфильтрация данных

В результате атаки злоумышленники изменили учетные данные сервера Active Directory, что привело к массовому сбросу паролей и фактически лишило организацию доступа к клиенту Microsoft 365. Данные были эксфильтрованы с помощью AzCopy, законного инструмента управления данными Azure, который передавал конфиденциальные файлы в управляемый злоумышленником большой двоичный объект Azure. Это демонстрирует новую тенденцию среди операторов программ-вымогателей использовать облачные сервисы для кражи данных.

Шифрование и требования о выкупе

На этапе шифрования атаки программа-вымогатель Interlock была распространена по сети через PsExec, что привело к масштабному шифрованию файлов и созданию уведомлений о требовании выкупа. Использование таких распространенных инструментов, как PsExec и AzCopy, для вредоносных целей подчеркивает эволюцию тактики вымогателей.

Новые стратегии атак

Интеграция SocGholish, традиционно ассоциированной с программами, похищающими информацию, указывает на изменение стратегий атак. Особенно стоит отметить компонент социальной инженерии, который включает в себя тактику «проверки человеком», что представляет собой инновационный подход, ранее не наблюдавшийся в подобных случаях с программами-вымогателями.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: