Сложная кибератака: от Cobalt Strike до LockBit

Сложная кибератака: от Cobalt Strike до LockBit

Источник: thedfirreport.com

Недавний отчет о кибератаке показывает, как злоумышленники успешно провели атаку, воспользовавшись неосторожностью пользователя. Все началось с того, что жертва загрузила файл, который казался законной утилитой настройки Windows Media, но на самом деле оказался вредоносным Cobalt Strike beacon. Эта инцидентная история подчеркивает сложные методы, стоящие за современными кибератаками.

Первые шаги атаки

После запуска вредоносного файла хакер начал перемещаться по сети, используя следующие методы:

  • Прокси-серверы на контроллерах домена;
  • Кодовое внедрение;
  • Извлечение учетных данных;
  • Создание постоянства через запланированные задачи.

Тактики и инструменты

Злоумышленник применил различные методы для доступа к данным, включая:

  • Использование Rclone для передачи данных на FTP-серверы и Mega.io;
  • Создание запланированных задач;
  • Использование прокси-инструментов, таких как SystemBC и GhostSOCKS;
  • Использование различных инструментов для запуска вредоносных файлов, включая PsExec и WMI.

Развертывание LockBit и эксфильтрация данных

На одиннадцатый день атаки хакер инициировал развертывание программы-вымогателя LockBit. Используя пакетные сценарии и другие вспомогательные инструменты, были зашифрованы файлы на всех доступных хостах. Успех эксфильтрации данных стал возможным благодаря интеграции Rclone с Mega.io после неудачных попыток с FTP-серверами.

Методы уклонения от обнаружения

Хакер применил ряд методов для замаскировки своих действий, включая:

  • Скрытие вредоносного загрузчика под законной программой;
  • Изменение параметров групповой политики для отключения защитника Windows;
  • Широкое использование PowerShell для разведки и выполнения команд.

Признаки компрометации

В ходе анализа угроз были выявлены различные признаки компрометации, включая:

  • Связь с известными вредоносными доменами;
  • Использование PowerShell для подозрительных действий;
  • Внедрение процессов в легитимные приложения.

Заключение

Эта кибератака демонстрирует сложность современных методов кибервзлома. Злоумышленники использовали многоуровневую тактику, начиная с компрометации через Cobalt Strike, перемещения с помощью прокси-серверов и запланированных задач, а также завершая развертыванием программы-вымогателя LockBit. Эта история служит напоминанием о важности кибербезопасности и постоянной бдительности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: