Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Trend Micro  рассказала о  хакерских кампаниях, запущенных группировкой Earth Estries

12/11/24

hack50-Nov-12-2024-11-27-57-5325-AM

Злоумышленники применили продвинутые техники проникновения в корпоративные системы через уязвимости в широко распространенном программном обеспечении.

Первая схема атаки сфокусировалась на эксплуатации QConvergeConsole - инструмента для управления оптоволоконными адаптерами QLogic. После получения начального доступа хакеры использовали утилиты PsExec и WMIC для распространения вредоноса по сети, пишет Secrutiylab.

Исследователи отмечают, что злоумышленники эксплуатировали уязвимости или некорректные настройки QConvergeConsole через установленный агент удаленного приложения (c:\program files\qlogic corporation\nqagent\netqlremote.exe), который позволял проводить сетевое сканирование и устанавливать Cobalt Strike на целевые машины.

В другом случае группировка использовала уязвимость в Apache Tomcat6, поставляемом с QConvergeConsole (c:\program files (x86)\qlogic corporation\qconvergeconsole\tomcat-x64\apache-tomcat-6.0.35\bin\tomcat6.exe), для бокового перемещения и управления инструментами поздних стадий атаки.

Группировка также активно применяла различные бэкдоры для закрепления в системе. Среди них - Cobalt Strike, Trillclient, Hemigate и новый образец под названием Crowdoor. Вредоносное ПО доставлялось на зараженные машины в виде CAB-архивов.

Особое внимание привлекает инструмент Trillclient, который похищал учетные данные из кэша браузеров. С его помощью злоумышленники получали дополнительный контроль над скомпрометированными системами. Earth Estries демонстрировали глубокое понимание инфраструктуры жертв - они напрямую скачивали документы из внутренних веб-хранилищ с помощью команды wget.

Во второй схеме атаки хакеры эксплуатировали уязвимости в Microsoft Exchange. На серверы устанавливался веб-шелл ChinaCopper, через который злоумышленники разворачивали Cobalt Strike и другие инструменты для бокового перемещения по сети.

Темы:ИсследованиеУгрозыTrend Micro
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...