Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Хакеры использовали модифицированный инструмент обратного туннелирования в кибератаках

11/03/22

hack68-Mar-11-2022-08-49-18-56-AMЭксперты в области кибербезопасности обнаружили интересный случай атаки, в ходе которой хакеры применили специально разработанные инструменты, распространенные среди APT-группировок.

По словам специалистов из компании Security Joes, атака была совершена на одну из компаний в индустрии азартных игр. Киберпреступники использовали сочетание специально разработанных и легкодоступных инструментов с открытым исходным кодом. Наиболее заметные примеры — модифицированная версия утилиты обратного туннелирования Ligolo и специальный инструмент для дампа учетных данных из LSASS.

Первоначальный доступ был получен через скомпрометированные учетные данные SSL-VPN сотрудников, за которыми последовало сканирование на предмет администраторов, брутфорс-атаки RDP и сбор учетных данных.

Последующие шаги включали получение доступа к дополнительным компьютерным системам с высокими привилегиями, развертывание специального прокси-туннелирования для безопасной связи и установку маячков Cobalt Strike.

Хотя в данном случае у злоумышленников не было возможности продвинуться дальше, следующим шагом могло быть развертывание полезной нагрузки программы-вымогателя.

Преступники также использовали утилиту Sockbot, написанную на языке программирования GoLang и основанную на инструменте обратного туннелирования Ligolo с открытым исходным кодом.

Отдельного внимания заслуживает пользовательский инструмент lsassDumper, также написанный на GoLang, используемый хакерами для автоматической эксфильтрации из процесса LSASS в службу transfer.sh. По словам экспертов, это первый раз, когда lsassDumper был обнаружен в реальных атаках.

Наконец, преступники использовали свободно доступный инструмент ADFind для сетевой рекогносцировки и сбора информации из Active Directory.

Темы:ПреступленияУгрозыAPT-группыSecurity Joes
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...