СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
29.04.2025
#Dev#ИБ#Инфра

Новые угрозы кибербезопасности: Вымогатели Fog атакуют предприятия

Новые угрозы кибербезопасности: Вымогатели Fog атакуют предприятия

Источник: thedfirreport.com

В декабре 2024 года киберэксперты сделали тревожное открытие: был найден открытый каталог, связанный с филиалом группы программ-вымогателей Fog. Этот каталог содержит сложный набор инструментов и скриптов, предназначенных для проведения комплексных киберопераций, включая разведку, эксплуатацию, горизонтальное перемещение и сохранение.

Способы получения доступа к сети

Первоначальный доступ к сети был получен с помощью скомпрометированных учетных данных SonicWall VPN. Инструменты, содержащиеся в каталоге, позволяли злоумышленникам:

  • Красть учетные данные различными способами;
  • Использовать уязвимости в Active Directory;
  • Облегчать перемещение по уязвимым средам.

Ключевые инструменты и их функции

Среди известных инструментов можно выделить:

  • Сканер SonicWall: предназначен для проверки подлинности и выполнения сканирования портов на устройствах SonicWall VPN с использованием скомпрометированных учетных данных.
  • DonPAPI: извлекает учетные данные Windows Data Protection API (DPAPI).
  • Certipy: взаимодействует со службами сертификации Active Directory для поиска уязвимых шаблонов сертификатов.
  • Zer0dump: использует уязвимость Zerologon (CVE-2020-1472) для получения административных привилегий.
  • AnyDesk: используется для поддержания постоянного доступа через автоматизированные процессы установки и настройки.

Техника и методы атак

Исполняемые файлы Sliver command-and-control (C2) предоставляют злоумышленникам контроль над скомпрометированными устройствами. Использование таких инструментов, как Proxychains и Powercat, позволяет скрытно перемещаться и осуществлять функции обратной оболочки. Proxychains направляют сетевой трафик через прокси-серверы, что минимизирует вероятность обнаружения.

Масштаб атаки и уязвимости

Атака охватила множество секторов, включая технологии, образование и логистику, с жертвами, расположенными в Европе и Северной и Южной Америке, особенно в:

  • Италии,
  • Греции,
  • Бразилии,
  • США.

Наличие взаимосвязанной инфраструктуры и размещение нескольких серверов у одного провайдера указывает на тщательно спланированную стратегию хакеров. Анализ также выявил схемы эксплуатации с помощью инструментов Pachine и noPac, использующих уязвимости Active Directory (CVE-2021-42278 и CVE-2021-42287) для повышения привилегий.

Заключение

Данная ситуация подчеркивает растущую сложность угроз со стороны программ-вымогателей. Необходимость усиления защитных мер во всех затронутых отраслях становится очевидной с учетом хорошо скоординированной работы злоумышленников и богатого набора инструментов, используемых для проведения многоплановых киберпреступных операций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: