12/11/24
Злоумышленники применили продвинутые техники проникновения в корпоративные системы через уязвимости в широко распространенном программном обеспечении.
Первая схема атаки сфокусировалась на эксплуатации QConvergeConsole - инструмента для управления оптоволоконными адаптерами QLogic. После получения начального доступа хакеры использовали утилиты PsExec и WMIC для распространения вредоноса по сети, пишет Secrutiylab.
Исследователи отмечают, что злоумышленники эксплуатировали уязвимости или некорректные настройки QConvergeConsole через установленный агент удаленного приложения (c:\program files\qlogic corporation\nqagent\netqlremote.exe), который позволял проводить сетевое сканирование и устанавливать Cobalt Strike на целевые машины.
В другом случае группировка использовала уязвимость в Apache Tomcat6, поставляемом с QConvergeConsole (c:\program files (x86)\qlogic corporation\qconvergeconsole\tomcat-x64\apache-tomcat-6.0.35\bin\tomcat6.exe), для бокового перемещения и управления инструментами поздних стадий атаки.
Группировка также активно применяла различные бэкдоры для закрепления в системе. Среди них - Cobalt Strike, Trillclient, Hemigate и новый образец под названием Crowdoor. Вредоносное ПО доставлялось на зараженные машины в виде CAB-архивов.
Особое внимание привлекает инструмент Trillclient, который похищал учетные данные из кэша браузеров. С его помощью злоумышленники получали дополнительный контроль над скомпрометированными системами. Earth Estries демонстрировали глубокое понимание инфраструктуры жертв - они напрямую скачивали документы из внутренних веб-хранилищ с помощью команды wget.
Во второй схеме атаки хакеры эксплуатировали уязвимости в Microsoft Exchange. На серверы устанавливался веб-шелл ChinaCopper, через который злоумышленники разворачивали Cobalt Strike и другие инструменты для бокового перемещения по сети.
