NoweLogoDAG
Login
Kontakt

Cisco dzieli się spostrzeżeniami związanymi z niedawnym cyberatakiem

Picture of michal
michal
Share it:

Rozpoznaj, zadziałaj, stwórz procedurę – zobacz, jak można poradzić sobie z cyberatakiem

Naruszenie danych uwierzytelniających pracownika, uzyskanie akceptacji MFA push i dostępu do VPN w kontekście docelowego użytkownika to gotowy przepis na udany cyberatak, który może być niezwykle kosztowny dla Twojej organizacji. Jak rozpoznać, że doszło do incydentu? Jakich działań możesz się spodziewać po atakującym i jak się przed nimi obronić? Na przykładzie firmy Cisco przygotowaliśmy rozbudowane case study dokumentujące niedawny atak na organizację i model podjętych działań.

Long story short

  • 24 maja 2022 r. firma Cisco dowiedziała się o potencjalnym zagrożeniu. Cisco Security Incident Response (CSIRT) i Cisco Talos natychmiast rozpoczęły pracę nad usunięciem zagrożenia.
  • Źródłem problemu okazały się dane uwierzytelniające pracownika, które zostały naruszone w wyniku przejęcia kontroli nad osobistym kontem Google, na którym synchronizowane były dane uwierzytelniające zapisane w przeglądarce ofiary.
  • Napastnik przeprowadził serię wyrafinowanych głosowych ataków phishingowych pod przykrywką różnych zaufanych organizacji, próbując przekonać ofiarę do zaakceptowania inicjowanych przez niego powiadomień push o uwierzytelnianiu wieloskładnikowym (MFA). Atakującemu udało się ostatecznie uzyskać akceptację MFA push, przyznającego im dostęp do VPN w kontekście docelowego użytkownika.
  • CSIRT i Talos zareagowały na to zdarzenie i nie znalazły żadnych dowodów sugerujących, że atakujący uzyskał dostęp do krytycznych systemów wewnętrznych, takich jak te związane z rozwojem produktu, podpisywaniem kodu itp.
  • Po uzyskaniu pierwszego dostępu, atakujący przeprowadził szereg działań w celu utrzymania dostępu, zminimalizowania artefaktów kryminalistycznych i zwiększenia poziomu dostępu do systemów w środowisku. Atakujący, mimo że został skutecznie usunięty ze środowiska, wykazał się wytrwałością, wielokrotnie próbując odzyskać dostęp w kolejnych tygodniach po ataku, jednak próby te były nieudane, dzięki uważności zespołu zajmującego się cyberbezpieczeństwem.
  • Z umiarkowaną lub wysoką pewnością oceniamy, że ten atak został przeprowadzony przez przeciwnika, który został wcześniej zidentyfikowany jako pośrednik dostępu (IAB) mający powiązania z gangiem cyberprzestępczym UNC2447, grupą hackerską Lapsus$ i operatorami oprogramowania ransomware Yanluowang.

Początkowy wektor, czyli jak cyberprzestępca zyskuje dostęp

Zidentyfikowanie pierwszego źródła dostępu jest absolutnie kluczowe dla zrozumienia modelu ataku i skutecznej obrony przed analogicznymi próbami w przyszłości.

 

Początkowy dostęp do sieci Cisco VPN został uzyskany poprzez udane naruszenie osobistego konta Google pracownika:

 

  • użytkownik włączył synchronizację haseł za pośrednictwem Google Chrome i zapisał swoje dane uwierzytelniające w przeglądarce, umożliwiając synchronizację tych informacji z kontem Google. Po uzyskaniu danych uwierzytelniających użytkownika, napastnik próbował obejść uwierzytelnianie wieloskładnikowe (MFA) przy użyciu różnych technik, w tym wyłudzania informacji głosowych (“vishing”) i zmęczenia MFA, czyli procesu polegającego na wysyłaniu dużej ilości żądań push do urządzenia mobilnego celu, aż użytkownik w końcu któreś z nich zaakceptuje, przypadkowo lub po prostu w celu próby wyciszenia powtarzających się powiadomień push, które otrzymuje.

WAŻNE!

Vishing to coraz powszechniejsza technika inżynierii społecznej, za pomocą której

napastnicy próbują podstępnie nakłonić pracowników do ujawnienia poufnych

informacji przez telefon.

 

  • W tym przypadku pracownik zgłosił, że w ciągu kilku dni otrzymał wiele telefonów, w których rozmówcy – mówiący po angielsku z różnymi międzynarodowymi akcentami i dialektami – podawali się za osoby związane z  zaufanymi organizacjami wsparcia. Po uzyskaniu pierwszego dostępu, napastnik dopisał serię nowych urządzeń do MFA i pomyślnie przeszedł proces uwierzytelnienia do Cisco VPN. Następnie napastnik eskalował do prawnień administracyjnych, co pozwoliło mu zalogować się do wielu systemów. Logowanie to zaalarmowało zespół Cisco Security Incident Response Team (CSIRT), który następnie zareagował na incydent.

Wspomniany hacker porzucił wiele narzędzi, w tym narzędzia zdalnego dostępu, takie jak LogMeIn i TeamViewer, ofensywne narzędzia bezpieczeństwa, takie jak Cobalt Strike, PowerSploit, Mimikatz i Impacket, a także dodał własne konta backdoor i mechanizmy utrzymania dostępu.

Kiedy już padniesz ofiarą cyberataku. Jak działać?

Im sprawniejszy model postępowania opracujesz, im szybciej i efektywniej zareagujesz na

incydent, tym większa szansa, że uda ci się zabezpieczyć dostęp do krytycznych

elementów infrastruktury organizacji. Pamiętaj, że zawsze możesz skorzystać z naszego

wsparcia 24/7.

 

Po uzyskaniu wstępnego dostępu do środowiska, atakujący przeprowadził szereg działań mających na celu

utrzymanie dostępu, zminimalizowanie artefaktów kryminalistycznych oraz zwiększenie poziomu dostępu do

systemów w środowisku.

 

  • Po wejściu do systemu, atakujący zaczął przeszukiwać środowisko, używając typowych wbudowanych narzędzi Windows, aby zidentyfikować konfigurację użytkowników i członków grupy w systemie, nazwę hosta oraz określić kontekst konta użytkownika, pod którym działał.
  • Napastnik wydawał polecenia zawierające błędy typograficzne, co wskazywało na ręczną interakcję operatora w środowisku.
  • Po ustanowieniu dostępu do VPN, napastnik zaczął używać przejętego konta użytkownika do logowania się do
  • dużej liczby systemów, a następnie rozpoczął dalszą penetrację środowiska.
  • Przeniósł się do środowiska Citrix, uzyskując dostęp do serii serwerów Citrix i ostatecznie uzyskał uprzywilejowany dostęp do kontrolerów domeny.
  • Po uzyskaniu dostępu do kontrolerów domeny, napastnik rozpoczął próbę zrzucenia z nich NTDS za pomocą
  • “ntdsutil.exe” zgodnego z następującą składnią:

powershell ntdsutil.exe ‘ac i ntds’ ‘ifm’ ‘create full c:\u0026apos;’ q q 

 

  • Następnie pracował nad eksfiltracją zrzuconego NTDS poprzez SMB (TCP/445) z kontrolera domeny do
  • kontrolowanego przez nich systemu VPN.
  • Po uzyskaniu dostępu do baz danych poświadczeń zaobserwowano, że napastnik wykorzystuje konta
  • maszynowe do uprzywilejowanego uwierzytelniania i przemieszczania się w poprzek środowiska.

Jak działa cyberprzestępca w Twoim systemie?

Uważna obserwacja, konsolidacja zdobytych informacji, opracowanie na ich podstawie

chematów działania cyberprzestępcy pozwala reagować szybciej i skuteczniej. Dzięki

współpracy z Cybergen masz możliwość nie tylko przygotować się i chronić przed takim

atakiem, ale i nauczyć się odpowiedniej reakcji, kiedy już do niego dojdzie.

 

Zgodnie z aktywnością w innych oddzielnych, ale podobnych atakach, napastnik stworzył w systemie

użytkownika administracyjnego o nazwie “z” przy użyciu wbudowanych w system Windows poleceń “net.exe”.

Konto to zostało następnie dodane do lokalnej grupy Administratorów. W niektórych przypadkach atakujący

zmieniał hasła istniejących lokalnych kont użytkowników na tę samą wartość, która została przedstawiona

poniżej. Aktor ten utworzył konto “z” w poprzednich działaniach przed inwazją Rosji na Ukrainę.

 

C:indows system32 net user z Lh199211* /add 

C:indows system32net localgroup administrators z /add

 

Konto to było następnie wykorzystywane w niektórych przypadkach do uruchamiania dodatkowych narzędzi,

takich jak adfind czy secretsdump, w celu próby wyliczenia środowiska usług katalogowych i uzyskania

dodatkowych danych uwierzytelniających. Dodatkowo, zaobserwowano próby wyodrębnienia informacji z

rejestru, w tym bazy danych SAM, na zaatakowanych hostach Windows.

 

reg save hklm system 

reg save hklmsam sam 

reg save HKLMsecurity sec

Na niektórych systemach zaobserwowano, że napastnik użył MiniDump z Mimikatz do zrzucenia LSASS.

tasklist | findstr lsass 

rundll32.exe C:\system32 \svcs.dll, MiniDump [LSASS_PID] C:\system32 \sass.dmp full

 

Atakujący podjął również kroki w celu usunięcia dowodów działań wykonywanych na przejętych systemach

poprzez usunięcie wcześniej utworzonego lokalnego konta Administratora. Wykorzystał również narzędzie

“wevtutil.exe” do identyfikacji i wyczyszczenia dzienników zdarzeń generowanych w systemie.

 

wevtutil.exe el 

wevtutil.exe cl [LOGNAME]

 

W wielu przypadkach atakujący usunął utworzone wcześniej konto lokalnego administratora.

net user z /delete

 

W celu przenoszenia plików pomiędzy systemami w środowisku, atakujący często wykorzystywał protokół zdalnego pulpitu (RDP) oraz Citrix. Modyfikował on konfiguracje zapory ogniowej na hoście, aby umożliwić dostęp RDP

do systemów.

 

netsh advfirewall firewall set rule group=remote desktop new enable=Yes

 

Podjął także instalację dodatkowych narzędzi zdalnego dostępu, takich jak TeamViewer i LogMeIn.

 

C:\Windows \System32 \msiexec.exe /i C:\Users \MeIn.msi

 

Atakujący często wykorzystywał techniki omijania logowania do systemu Windows, aby zachować możliwość

dostępu do systemów w środowisku z podwyższonymi uprawnieniami. Często polegał na PSEXESVC.exe, aby

zdalnie dodać następujące wartości klucza rejestru:

 

HKLM Microsoft Windows NT CurrentVersion Image File Execution Options -narrator.exe /v Debugger /t REG_SZ /d C:\system32 \systemd.exe /f 

HKLM Microsoft NT CurrentVersion Image File Execution Options /v Debugger /t REG_SZ /d C:indows system32cmd.exe /f

 

Dzięki temu napastnik mógł wykorzystać funkcje dostępności obecne na ekranie logowania do systemu Windows, aby wywołać wiersz poleceń na poziomie SYSTEM, co dawało mu pełną kontrolę nad systemem. W kilku

przypadkach można było zaobserwować, jak napastnik dodaje te klucze, ale nie wchodzi w dalszą interakcję

z systemem. Prawdopodobnie przygotowywał mechanizm uporczywości, który miał zostać wykorzystany później, gdy jego główny uprzywilejowany dostęp zostanie odebrany.

 

Podczas całego ataku pojawiały się próby eksfiltracji informacji z otoczenia. Jedyna udana eksfiltracja danych,

jaka miała miejsce podczas ataku, obejmowała zawartość folderu Box, który był powiązany z przejętym kontem

pracownika oraz dane uwierzytelniające pracownika z Active Directory. Dane Box uzyskane przez adwersarza w

tym przypadku nie były wrażliwe.

 

W ciągu kilku tygodni po usunięciu napastnika ze środowiska, podejmował on ciągłe próby przywrócenia dostępu. W większości przypadków atakujący celował w słabą higienę rotacji haseł po obowiązkowych resetach haseł

pracowników.

 

  • W pierwszej kolejności atakował użytkowników, którzy według niego dokonali zmian pojedynczych znaków w
  • swoich poprzednich hasłach, próbując wykorzystać te dane do uwierzytelnienia i odzyskania dostępu do sieci
  • Cisco VPN.
  • Atakujący początkowo wykorzystywał usługi anonimizacji ruchu, takie jak Tor; jednak po doświadczeniu
  • ograniczonego sukcesu, przestawił się na próby ustanowienia nowych sesji VPN z publicznej przestrzeni IP przy
  • użyciu kont wcześniej przejętych w początkowej fazie ataku.
  • Zaobserwować można było także rejestrację kilku dodatkowych domen odnoszących się do organizacji podczas reagowania na atak. Zespół cyberbezpieczeństwa podjął jednak odpowiednie działania, zanim mogły one zostać wykorzystane do złych celów.

Po udanym usunięciu ze środowiska, adwersarz wielokrotnie próbował nawiązać komunikację

mailową z członkami zarządu organizacji, ale nie formułował żadnych konkretnych gróźb ani żądań wymuszenia. W jednym z e-maili załączył zrzut ekranu pokazujący listing katalogowy danych Box,

które zostały wcześniej eksfiltrowane w sposób opisany wyżej. Poniżej znajduje się zrzut ekranu

jednego z otrzymanych e-maili. Adwersarz zredagował zrzut ekranu z listą katalogów przed wysłaniem wiadomości e-mail.

Zwróć na to uwagę: analiza backdoora, która może Ci się przydać

Atakujący zrzucił na systemy serię payloadów, które analizujemy poniżej. Zachęcamy Cię

do zapoznania się z tym opracowaniem, ponieważ pozwoli ci ono zyskać kolejną porcję

praktycznej wiedzy o aktualnych modelach działania cyberprzestępcy.

 

  • Pierwszy ładunek to prosty backdoor, który pobiera polecenia z serwera dowodzenia i kontroli (C2) i wykonuje je
  • na systemie końcowym za pośrednictwem procesora poleceń Windows.
  • Polecenia są wysyłane w postaci blobów JSON i są standardem dla backdoora. Istnieje polecenie “DELETE_SELF”, które całkowicie usuwa backdoora z systemu.
  • Inne, bardziej interesujące polecenie, “WIPE”, instruuje backdoora, aby usunął z pamięci ostatnio wykonane
  • polecenie, prawdopodobnie z zamiarem negatywnego wpływu na analizę kryminalistyczną na wszystkich
  • zaatakowanych hostach.
  • Polecenia są pobierane poprzez wykonanie żądania HTTP GET do serwera C2 przy użyciu następującej struktury:

/bot/cmd.php?botid=%.8x

  • Złośliwe oprogramowanie komunikuje się również z serwerem C2 za pomocą żądań HTTP GET o następującej
  • strukturze:

/bot/gate.php?botid=%.8x

  • Po pierwszym żądaniu z zainfekowanego systemu, serwer C2 odpowiada skrótem SHA256. Zaobserwowaliśmy dodatkowe żądania wykonywane co 10 sekund.
  • Wspomniane żądania HTTP są wysyłane przy użyciu następującego ciągu user-agent:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, jak Gecko) Chrome/99.0.4844.51 Safari/537.36 Edg/99.0.1150.36 Trailer/95.3.1132.33

 

  • Malware tworzy również plik o nazwie “bdata.ini” w bieżącym katalogu roboczym malware, który zawiera wartość pochodzącą z numeru seryjnego woluminu obecnego w zainfekowanym systemie. W przypadkach, w których ten backdoor został wykonany, zaobserwowano, że złośliwe oprogramowanie działało z następującej lokalizacji
  • katalogu:

C:\u2008cmd.exe.

  • Często obserwowano, jak napastnik umieszczał narzędzia w katalogach pod profilem użytkownika Public na systemach, z których działał.

Na podstawie analizy infrastruktury C2 związanej z tym backdoorem oceniamy, że serwer C2 został skonfigurowany specjalnie do tego ataku.

Atrybucja ataku

Na podstawie uzyskanych artefaktów, zidentyfikowanych taktyk, technik i procedur (TTP), wykorzystanej

infrastruktury oraz dokładnej analizy backdoora użytego w tym ataku, ocenić można umiarkowaną lub wysoką

pewnością, że ten atak został przeprowadzony przez przeciwnika, który został wcześniej zidentyfikowany jako

broker dostępu wstępnego (IAB) z powiązaniami zarówno z UNC2447, jak i Lapsus$. IAB zazwyczaj próbują

uzyskać uprzywilejowany dostęp do korporacyjnych środowisk sieciowych, a następnie spieniężyć ten dostęp,

sprzedając go innym uczestnikom zagrożeń, którzy mogą go wykorzystać do różnych celów. Zaobserwować

można było również wcześniejsze działania łączące tego atakującego z gangiem ransomware Yanluowang, w tym wykorzystanie strony Yanluowang data leak do umieszczania danych skradzionych ze skompromitowanych

organizacji.

 

UNC2447 jest organizacją o motywacji finansowej, powiązaną z Rosją, która wcześniej przeprowadzała ataki

ransomware i wykorzystywała technikę znaną jako “podwójne wymuszenie”, w której dane są wymazywane przed wdrożeniem ransomware w celu zmuszenia ofiar do zapłacenia okupu. Wcześniejsze raporty wskazują, że

UNC2447 było obecne przy obsłudze różnych rodzajów ransomware, w tym FIVEHANDS, HELLOKITTY i innych.

 

Oprócz UNC2447, niektóre z TTP odkryte w trakcie naszego dochodzenia pasują do Lapsus$. Lapsus$ to grupa,

która według doniesień była odpowiedzialna za kilka poprzednich godnych uwagi naruszeń środowisk

korporacyjnych. Na początku tego roku odnotowano kilka aresztowań członków Lapsus$. Lapsus$ został

zaobserwowany podczas włamań do środowisk korporacyjnych i prób eksfiltracji poufnych informacji.

 

Chociaż nie zaobserwowaliśmy wdrożenia oprogramowania ransomware w tym ataku, zastosowane metody TTP były zgodne z “aktywnością przedransomware’ową”, czyli działaniami powszechnie obserwowanymi przed

wdrożeniem oprogramowania ransomware w środowiskach ofiar. Wiele z zaobserwowanych TTP jest zgodnych z działaniami zaobserwowanymi przez CTIR podczas poprzednich ataków. Nasza analiza sugeruje również

ponowne wykorzystanie infrastruktury po stronie serwera związanej z tymi poprzednimi działaniami. W

poprzednich działaniach nie zaobserwowaliśmy również wdrażania oprogramowania ransomware w

środowiskach ofiar.

Jak reagować? Model postępowania i dalsze zalecenia

Na przykładzie działań zespołu ds. cyberbezpieczeństwa możesz zobaczyć, jak w praktyce wygląda odpieranie tak skonstruowanego ataku. Obawiasz się podobnych incydentów? Padłeś ofiarą działającego analogicznie

adwersarza? Skontaktuj się z naszymi ekspertami, którzy pomogą ci zbudować odpowiednie zabezpieczenia.

Firma wdrożyła reset hasła w całej firmie natychmiast po uzyskaniu informacji o incydencie. CTIR zaobserwował wcześniej podobne TTP w licznych dochodzeniach od 2021 roku. Nasze ustalenia i kolejne zabezpieczenia

wynikające z zaangażowania klientów, pomogły nam spowolnić i powstrzymać progresję atakującego.

Stworzyliśmy dwie sygnatury ClamAV, które są wymienione poniżej.

 

  • Exploit.Kolobko-9950675-0
  • Backdoor.Kolobko-9950676-0

Ataki tego typu występują często, a nadal sporo firm ma problem, aby sobie z nimi poradzić. Dlaczego? Brakuje wiedzy! Edukacja użytkowników jest najważniejsza w udaremnianiu

takich ataków. Pracownicy powinni znać legalne sposoby, w jakie personel wsparcia

technicznego kontaktuje się z użytkownikami i rozpoznawać niepokojące sygnały. Warto

zrobić wiele w zakresie edukacji, tak aby pracownicy mogli zidentyfikować nieuczciwe

próby uzyskania poufnych informacji.

 

Biorąc pod uwagę wykazaną biegłość aktora w stosowaniu szerokiego wachlarza technik w celu uzyskania

pierwszego dostępu, edukacja użytkowników jest również kluczową częścią przeciwdziałania technikom

omijania MFA.

 

Sprawdź nasze podpowiedzi!

 

  • Równie ważne przy wdrażaniu MFA jest zapewnienie, że pracownicy są przeszkoleni w zakresie tego, co robić i jak reagować, jeśli otrzymują błędne żądania push na swoich telefonach.
  • Istotne jest również, aby edukować pracowników, z kim mają się kontaktować w przypadku wystąpienia takich
  • incydentów, aby pomóc w ustaleniu, czy zdarzenie było problemem technicznym czy złośliwym działaniem.
  • Dla Duo korzystne jest wdrożenie silnej weryfikacji urządzeń poprzez egzekwowanie ściślejszej kontroli statusu
  • urządzeń w celu ograniczenia lub zablokowania zapisów i dostępu z niezarządzanych lub nieznanych urządzeń.
  • Dodatkowo, wykorzystanie detekcji ryzyka w celu podkreślenia zdarzeń takich jak nowe urządzenie używane z
  • nierealnej lokalizacji lub wzorców ataku takich jak loginy brute force może pomóc w wykryciu nieautoryzowanego dostępu.

Przed zezwoleniem na połączenia VPN ze zdalnych punktów końcowych należy upewnić się, że sprawdzanie

postawy jest skonfigurowane w celu egzekwowania podstawowego zestawu kontroli bezpieczeństwa. Dzięki temu można mieć pewność, że podłączane urządzenia spełniają wymagania bezpieczeństwa obecne w środowisku. Może to również zapobiec podłączeniu do środowiska sieci korporacyjnej urządzeń nieuprawnionych, które nie

zostały wcześniej zatwierdzone.

 

Segmentacja sieci to kolejna ważna kontrola bezpieczeństwa, którą organizacje powinny stosować, ponieważ

zapewnia ona zwiększoną ochronę aktywów o wysokiej wartości, a także umożliwia skuteczniejsze wykrywanie

i reagowanie w sytuacjach, gdy przeciwnik jest w stanie uzyskać początkowy dostęp do środowiska.

Scentralizowane zbieranie logów może pomóc zminimalizować brak widoczności, który wynika z tego, że

napastnik podejmuje aktywne kroki w celu usunięcia logów z systemów. Zapewnienie, że dane z dzienników

generowane przez punkty końcowe są centralnie gromadzone i analizowane pod kątem anomalii lub jawnie

złośliwych zachowań może dostarczyć wczesnych wskazówek, że atak jest w toku.

 

W wielu przypadkach zaobserwowano, że podmioty odpowiedzialne za zagrożenia obrały za cel infrastrukturę

kopii zapasowych, próbując w ten sposób jeszcze bardziej ograniczyć zdolność organizacji do odzyskania danych po ataku. Zapewnienie, że kopie zapasowe są offline i okresowo testowane może pomóc w ograniczeniu tego

ryzyka i zapewnić zdolność organizacji do skutecznego odzyskania danych po ataku.

 

Audyt wykonywania wiersza poleceń na punktach końcowych może również zapewnić większą widoczność

działań wykonywanych w systemach w środowisku i może być wykorzystany do wykrycia podejrzanego

wykonywania wbudowanych narzędzi systemu Windows, co jest powszechnie obserwowane podczas włamań,

w których atakujący polegają na łagodnych aplikacjach lub narzędziach już obecnych w środowisku w celu

wyliczenia, eskalacji przywilejów i działań związanych z przemieszczaniem się na boki.

 

Masz poczucie, że Twoje procedury nie chronią organizacji tak, jakbyś tego oczekiwał?

Chcesz lepiej przygotować pracowników na sytuację analogicznego ataku? A może

szukasz narzędzi, które pozwolą Twojemu zespołowi ds. cyberbezpieczeństwa lepiej

identyfikować zagrożenia i optymalizować priorytety działania na wypadek ataku?

Specjaliści Cybergen są do Twojej dyspozycji. Skontaktuj się z nami i dowiedz się, jak

skutecznie bronić się przed podobnymi incydentami!

Poznaj szczegóły. Mapowanie Mitre ATT&CK

Wszystkie opisane wcześniej TTP, które zostały zaobserwowane w tym ataku, zostały wymienione poniżej w

oparciu o fazę ataku, w której wystąpiły.

 

 

Wstępny dostęp

ATT&CK Technique : Phishing (T1566)

ATT&CK Technique : Valid Accounts (T1078)

 

 

Wykonanie

ATT&CK Technique : System Services: Service Execution (T1569.002)

 

 

Utrzymanie dostępu

ATT&CK Technique : Create Account: Local Account (T1136.001)

ATT&CK Technique : Account Manipulation: Device Registration (T1098.005)

 

 

Eskalacja uprawnień

ATT&CK Technique : Event Triggered Execution: Image File Execution Options Injection

(T1546.012)

 

 

Techniki unikania

ATT&CK Technique : Indicator Removal on Host (T1070)

ATT&CK Technique : Indicator Removal on Host: Clear Windows Event Logs (T1070.001)

ATT&CK Technique : Masquerading: Match Legitimate Name or Location (T1036.005)

ATT&CK Technique : Impair Defenses: Disable or Modify System Firewall (T1562.004)

ATT&CK Technique : Modify Registry (T1112)

 

 

Dostęp do danych uwierzytelniających

ATT&CK Technique : OS Credential Dumping: LSASS Memory (T1003.001)

ATT&CK Technique : OS Credential Dumping: Security Account Manager (T1003.002)

ATT&CK Technique : OS Credential Dumping: NTDS (T1003.003)

ATT&CK Technique : Multi-Factor Authentication Request Generation (T1621)

 

 

Ruchy boczne

ATT&CK Technique : Remote Services (T1021)

 

 

Wykrywanie

ATT&CK Technique : Query Registry (T1012)

 

 

Dowodzenie i kontrola

ATT&CK Technique : Application Layer Protocol: Web Protocols (T1071.001)

ATT&CK Technique : Remote Access Software (T1219)

ATT&CK Technique: Encrypted Channel: Asymmetric Cryptography (T1573.002)

ATT&CK Technique : Proxy: Multi-hop Proxy (T1090.003)

Exfiltracja

ATT&CK Technique : Exfiltration Over Alternative Protocol (T1048)

Wskaźniki kompromitacji

Zaobserwowano następujące wskaźniki kompromitacji związane z tym atakiem.

 

 

Hashe (SHA256)

184a2570d71eedc3c77b63fd9d2a066cd025d20ceef0f75d428c6f7e5c6965f3

2fc5bf9edcfa19d48e235315e8f571638c99a1220be867e24f3965328fe94a03

542c9da985633d027317e9a226ee70b4f0742dcbc59dfd2d4e59977bb870058d

61176a5756c7b953bc31e5a53580d640629980a344aa5ff147a20fb7d770b610

753952aed395ea845c52e3037f19738cfc9a415070515de277e1a1baeff20647

8df89eef51cdf43b2a992ade6ad998b267ebb5e61305aeb765e4232e66eaf79a

8e5733484982d0833abbd9c73a05a667ec2d9d005bbf517b1c8cd4b1daf57190

99be6e7e31f0a1d7eebd1e45ac3b9398384c1f0fa594565137abb14dc28c8a7f

bb62138d173de997b36e9b07c20b2ca13ea15e9e6cd75ea0e8162e0d3ded83b7

eb3452c64970f805f1448b78cd3c05d851d758421896edd5dfbe68e08e783d18

 

 

Adresy IP

104.131.30[.]201

108.191.224[.]47

131.150.216[.]118

134.209.88[.]140

138.68.227[.]71

139.177.192[.]145

139.60.160[.]20

139.60.161[.]99

143.198.110[.]248

143.198.131[.]210

159.65.246[.]188

161.35.137[.]163

162.33.177[.]27

162.33.178[.]244

162.33.179[.]17

165.227.219[.]211

165.227.23[.]218

165.232.154[.]73

166.205.190[.]23

167.99.160[.]91

172.56.42[.]39

172.58.220[.]52

172.58.239[.]34

174.205.239[.]164

176.59.109[.]115

178.128.171[.]206

185.220.100[.]244

185.220.101[.]10

185.220.101[.]13

185.220.101[.]15

185.220.101[.]16

185.220.101[.]2

185.220.101[.]20

185.220.101[.]34

185.220.101[.]45

185.220.101[.]6

185.220.101[.]65

185.220.101[.]73

185.220.101[.]79

185.220.102[.]242

185.220.102[.]250

192.241.133[.]130

194.165.16[.]98

195.149.87[.]136

24.6.144[.]43

45.145.67[.]170

45.227.255[.]215

45.32.141[.]138

45.32.228[.]189

45.32.228[.]190

45.55.36[.]143

45.61.136[.]207

45.61.136[.]5

45.61.136[.]83

46.161.27[.]117

5.165.200[.]7

52.154.0[.]241

64.227.0[.]177

64.4.238[.]56

65.188.102[.]43

66.42.97[.]210

67.171.114[.]251

68.183.200[.]63

68.46.232[.]60

73.153.192[.]98

74.119.194[.]203

74.119.194[.]4

76.22.236[.]142

82.116.32[.]77

87.251.67[.]41

94.142.241[.]194

 

 

Domeny

cisco-help[.]cf

cisco-helpdesk[.]cf

ciscovpn1[.]com

ciscovpn2[.]com

ciscovpn3[.]com

devcisco[.]com

devciscoprograms[.]com

helpzonecisco[.]com

kazaboldu[.]net

mycisco[.]cf

mycisco[.]gq

mycisco-helpdesk[.]ml

primecisco[.]com

pwresetcisco[.]com

 

 

Adresy e-mail

costacancordia[@]protonmail[.]com

 

Źródło: https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html

 

Chcesz zbudować prawdziwe i efektywne wsparcie dla swojego zespołu? Zależy ci na optymalizacji pracy nad

cyberbezpieczeństwem? Szukasz nowoczesnej ochrony, która da ci wiedzę, z pomocą której ochrona domen

będziesz jeszcze skuteczniejsza? Skontaktuj się z ekspertami Cybergen, zbuduj nowoczesną

ochronę i bądź krok przed cyberprzestępcami!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Latest Post
Categories
Firma
Wsparcie
Blog
Facebook Linkedin Twitter
Copyright © 2023 DAG s.c., All rights reserved.