Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Хакеры использовали модифицированный инструмент обратного туннелирования в кибератаках

11/03/22

hack68-Mar-11-2022-08-49-18-56-AMЭксперты в области кибербезопасности обнаружили интересный случай атаки, в ходе которой хакеры применили специально разработанные инструменты, распространенные среди APT-группировок.

По словам специалистов из компании Security Joes, атака была совершена на одну из компаний в индустрии азартных игр. Киберпреступники использовали сочетание специально разработанных и легкодоступных инструментов с открытым исходным кодом. Наиболее заметные примеры — модифицированная версия утилиты обратного туннелирования Ligolo и специальный инструмент для дампа учетных данных из LSASS.

Первоначальный доступ был получен через скомпрометированные учетные данные SSL-VPN сотрудников, за которыми последовало сканирование на предмет администраторов, брутфорс-атаки RDP и сбор учетных данных.

Последующие шаги включали получение доступа к дополнительным компьютерным системам с высокими привилегиями, развертывание специального прокси-туннелирования для безопасной связи и установку маячков Cobalt Strike.

Хотя в данном случае у злоумышленников не было возможности продвинуться дальше, следующим шагом могло быть развертывание полезной нагрузки программы-вымогателя.

Преступники также использовали утилиту Sockbot, написанную на языке программирования GoLang и основанную на инструменте обратного туннелирования Ligolo с открытым исходным кодом.

Отдельного внимания заслуживает пользовательский инструмент lsassDumper, также написанный на GoLang, используемый хакерами для автоматической эксфильтрации из процесса LSASS в службу transfer.sh. По словам экспертов, это первый раз, когда lsassDumper был обнаружен в реальных атаках.

Наконец, преступники использовали свободно доступный инструмент ADFind для сетевой рекогносцировки и сбора информации из Active Directory.

Темы:ПреступленияУгрозыAPT-группыSecurity Joes
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...