Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Trend Micro  рассказала о  хакерских кампаниях, запущенных группировкой Earth Estries

12/11/24

hack50-Nov-12-2024-11-27-57-5325-AM

Злоумышленники применили продвинутые техники проникновения в корпоративные системы через уязвимости в широко распространенном программном обеспечении.

Первая схема атаки сфокусировалась на эксплуатации QConvergeConsole - инструмента для управления оптоволоконными адаптерами QLogic. После получения начального доступа хакеры использовали утилиты PsExec и WMIC для распространения вредоноса по сети, пишет Secrutiylab.

Исследователи отмечают, что злоумышленники эксплуатировали уязвимости или некорректные настройки QConvergeConsole через установленный агент удаленного приложения (c:\program files\qlogic corporation\nqagent\netqlremote.exe), который позволял проводить сетевое сканирование и устанавливать Cobalt Strike на целевые машины.

В другом случае группировка использовала уязвимость в Apache Tomcat6, поставляемом с QConvergeConsole (c:\program files (x86)\qlogic corporation\qconvergeconsole\tomcat-x64\apache-tomcat-6.0.35\bin\tomcat6.exe), для бокового перемещения и управления инструментами поздних стадий атаки.

Группировка также активно применяла различные бэкдоры для закрепления в системе. Среди них - Cobalt Strike, Trillclient, Hemigate и новый образец под названием Crowdoor. Вредоносное ПО доставлялось на зараженные машины в виде CAB-архивов.

Особое внимание привлекает инструмент Trillclient, который похищал учетные данные из кэша браузеров. С его помощью злоумышленники получали дополнительный контроль над скомпрометированными системами. Earth Estries демонстрировали глубокое понимание инфраструктуры жертв - они напрямую скачивали документы из внутренних веб-хранилищ с помощью команды wget.

Во второй схеме атаки хакеры эксплуатировали уязвимости в Microsoft Exchange. На серверы устанавливался веб-шелл ChinaCopper, через который злоумышленники разворачивали Cobalt Strike и другие инструменты для бокового перемещения по сети.

Темы:ИсследованиеУгрозыTrend Micro
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...