Преступники расследуют взлом ТТП после «грязной» кибератаки

Преступники расследуют взлом ТТП после «грязной» кибератаки


По словам исследователей Sophos, расследовавших и в конечном итоге остановивших «грязную» атаку, вредоносные агенты проникли на серверы регионального государственного учреждения в США, а затем использовали их в течение пяти месяцев, чтобы найти хакеров и инструменты ИТ-администрирования, которые могли бы достичь их целей.

Следователи сегодня поделились подробностями продолжительной кибератаки на неопознанный клиент, которая побудила злоумышленников, наконец, использовать данные жертвы и разместить программу-вымогатель Lockbit. Они считают, что несколько разных злоумышленников могут проникнуть на незащищенный сервер.

«Это была очень грязная атака. Наряду с целями исследователи Sophos смогли создать образ, который начался с появления начинающих злоумышленников, взламывающих сервер, блуждающих по сети и использующих скомпрометированный сервер с комбинацией хакеров, законных пиратских и бесплатных версий. Инструменты администратора для использования в атаке. «Похоже, они не знали, что делать дальше, — сказал Эндрю Брандт, главный исследователь Sophos в области безопасности.

Исходная точка доступа, по-видимому, проходила через открытый порт протокола удаленного рабочего стола (RDP) на брандмауэре, который был настроен для предоставления общего доступа к серверу. Это произошло в сентябре 2021 года.

Как уже упоминалось, злоумышленники затем использовали браузер на взломанном сервере для поиска в Интернете хакерских инструментов, которые они пытались установить. В некоторых случаях их поиски приводили к «теневым» загрузкам, которые также распространяли вредоносную рекламу на скомпрометированном сервере.

Некоторые из инструментов, которые они пытались установить, включали Advanced Port Scanner, FileZilla, LaZagne, mimikatz, NLBrute, Process Hacker, PuTTY, Remote Desktop Passview, RDP Brute Forcer, SniffPass и WinSCP. Они также пытались использовать коммерческие инструменты удаленного доступа, включая ScreenConnect и AnyDesk.

«Если член ИТ-команды не загрузил их для определенной цели, наличие таких инструментов на компьютерах в вашей сети является тревожным сигналом для продолжающейся или готовящейся атаки», — сказал Брандт.

«Неожиданная или необычная сетевая активность, такая как сканирование сети компьютером, является еще одним таким индикатором. Отсутствие повторного входа в RDP на устройстве, доступном только в сети, является признаком того, что кто-то пытается пройти мимо устройства грубой силы, а также активных подключений с коммерческих устройств удаленного доступа, которые ИТ-команда не установила или не может использовать. В прошлом, но давно им не пользовался».

В январе 2022 года нападавшие изменили тактику и стали проявлять признаки более опытной и целенаправленной активности. Ранее установленный вредоносный крипто-майнер, а также программное обеспечение безопасности сервера — удаляет цель, которая случайно оставила функцию безопасности отключенной после предыдущего раунда обслуживания. Затем они смогли украсть данные и внедрить Lockbit, хотя выкуп был успешным лишь частично.

По словам Брандта, такое изменение тактики может свидетельствовать о добровольном участии определенной группы или о продаже доступа каким-либо образом. «Примерно через четыре месяца после первоначального взлома характер атак изменился, в некоторых случаях настолько резко, что можно предположить, что в бой вступили злоумышленники, обладавшие совершенно другими навыками», — сказал он.

Мощная, проактивная, глубокая защита 24 часа в сутки 7 дней в неделю поможет вам предотвратить усиление и развитие такой атаки. Самый важный первый шаг — попытаться предотвратить доступ злоумышленников к сети — например, выполнив многофакторную аутентификацию и установив правила брандмауэра для блокировки удаленного доступа к портам RDP при отсутствии VPN. [virtual private network] Обратная связь. “

Сариу Наяр, генеральный директор и основатель Gurucul, сказал, что в некоторых случаях со временем пребывания более 250 дней актеры опасности могут гораздо лучше скрывать свою активность от традиционных представлений.Информация о безопасности и управление событиями (SIEM) или Расширенное обнаружение и реагирование (XDR) инструменты, которые нацелены на выявление закономерностей за короткий промежуток времени.

Он сказал, что в течение недель или месяцев ручная сборка, казалось бы, различных индикаторов компрометации (IoC) вручную была практически невозможна для группы безопасности, и именно с этим борется большинство текущих решений.

«Организациям необходимо добавить более продвинутые инструменты, которые связывают различные события во времени, используя аналитику и адаптированные и обученные механические модели, а не просто корреляцию или фиксированное машинное обучение на основе правил», — сказал он.

Кроме того, он включает в себя информацию об угрозах (к сожалению, большинство компаний платят за автоматическое обнаружение угроз), анализ сетевого трафика для выявления несанкционированных внешних коммуникаций, а для обнаружения можно использовать базовый уровень и аналитику поведения пользователей и устройств в режиме реального времени. Насколько ненормальное поведение является реальной угрозой безопасности, связанной с кампанией атаки. «Это меняет правила игры и позволяет службам безопасности действовать на опережение против реакционеров», — сказал Наяр.

Facebook Comments

Share this post

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო.


has been added to your cart.
გადახდა