Long story short<\/h2>\n\n- 24 maja 2022 r. firma Cisco dowiedzia\u0142a si\u0119 o potencjalnym zagro\u017ceniu<\/strong>.\u00a0Cisco Security Incident\u00a0Response (CSIRT) i Cisco Talos natychmiast rozpocz\u0119\u0142y prac\u0119 nad usuni\u0119ciem zagro\u017cenia.<\/li>\n
- <\/li>\n
- \u0179r\u00f3d\u0142em problemu okaza\u0142y si\u0119 dane uwierzytelniaj\u0105ce pracownika, kt\u00f3re zosta\u0142y\u00a0naruszone w wyniku\u00a0<\/strong>przej\u0119cia kontroli nad osobistym kontem Google<\/strong>, na kt\u00f3rym synchronizowane by\u0142y dane\u00a0uwierzytelniaj\u0105ce zapisane w przegl\u0105darce ofiary.<\/li>\n
- <\/li>\n
- Napastnik przeprowadzi\u0142 seri\u0119 wyrafinowanych g\u0142osowych\u00a0atak\u00f3w phishingowych pod przykrywk\u0105\u00a0<\/strong>r\u00f3\u017cnych zaufanych organizacji, pr\u00f3buj\u0105c przekona\u0107 ofiar\u0119 do zaakceptowania\u00a0<\/strong>inicjowanych przez niego powiadomie\u0144 push o uwierzytelnianiu wielosk\u0142adnikowym (MFA).\u00a0<\/strong>Atakuj\u0105cemu uda\u0142o si\u0119 ostatecznie uzyska\u0107 akceptacj\u0119\u00a0MFA push, przyznaj\u0105cego im dost\u0119p do VPN\u00a0<\/strong>w kontek\u015bcie docelowego u\u017cytkownika.<\/strong><\/li>\n
- <\/li>\n
- CSIRT i Talos zareagowa\u0142y na to zdarzenie i nie znalaz\u0142y \u017cadnych dowod\u00f3w sugeruj\u0105cych, \u017ce atakuj\u0105cy uzyska\u0142 dost\u0119p do krytycznych system\u00f3w wewn\u0119trznych, takich jak te zwi\u0105zane z rozwojem produktu, podpisywaniem kodu itp.<\/li>\n
- <\/li>\n
- Po uzyskaniu pierwszego dost\u0119pu, atakuj\u0105cy przeprowadzi\u0142\u00a0szereg dzia\u0142a\u0144 w celu utrzymania dost\u0119pu<\/strong>, zminimalizowania artefakt\u00f3w kryminalistycznych i zwi\u0119kszenia poziomu dost\u0119pu do system\u00f3w w \u015brodowisku.\u00a0Atakuj\u0105cy, mimo \u017ce zosta\u0142 skutecznie usuni\u0119ty ze \u015brodowiska, wykaza\u0142 si\u0119 wytrwa\u0142o\u015bci\u0105, wielokrotnie pr\u00f3buj\u0105c\u00a0odzyska\u0107 dost\u0119p w kolejnych tygodniach po ataku<\/strong>, jednak pr\u00f3by te by\u0142y nieudane, dzi\u0119ki uwa\u017cno\u015bci\u00a0zespo\u0142u zajmuj\u0105cego si\u0119 cyberbezpiecze\u0144stwem.<\/li>\n
- <\/li>\n
- Z umiarkowan\u0105 lub wysok\u0105 pewno\u015bci\u0105 oceniamy, \u017ce ten atak zosta\u0142 przeprowadzony przez przeciwnika, kt\u00f3ry\u00a0zosta\u0142 wcze\u015bniej zidentyfikowany jako\u00a0po\u015brednik dost\u0119pu (IAB) maj\u0105cy powi\u0105zania z gangiem\u00a0<\/strong>cyberprzest\u0119pczym UNC2447, grup\u0105 hackersk\u0105 Lapsus$ i operatorami oprogramowania\u00a0<\/strong>ransomware Yanluowang<\/strong>.<\/li>\n<\/ul>\n
Pocz\u0105tkowy wektor, czyli jak cyberprzest\u0119pca zyskuje dost\u0119p<\/h2>\n
Zidentyfikowanie pierwszego \u017ar\u00f3d\u0142a dost\u0119pu jest absolutnie kluczowe dla zrozumienia modelu ataku i skutecznej obrony przed analogicznymi pr\u00f3bami w przysz\u0142o\u015bci.<\/strong><\/p>\n <\/p>\n
Pocz\u0105tkowy dost\u0119p do sieci Cisco VPN zosta\u0142 uzyskany poprzez udane naruszenie osobistego konta Google\u00a0pracownika:<\/p>\n
<\/p>\n
\n- u\u017cytkownik w\u0142\u0105czy\u0142 synchronizacj\u0119 hase\u0142 za po\u015brednictwem Google Chrome i zapisa\u0142 swoje dane\u00a0uwierzytelniaj\u0105ce w przegl\u0105darce, umo\u017cliwiaj\u0105c synchronizacj\u0119 tych informacji z kontem Google.\u00a0Po uzyskaniu danych uwierzytelniaj\u0105cych u\u017cytkownika, napastnik pr\u00f3bowa\u0142 obej\u015b\u0107 uwierzytelnianie\u00a0wielosk\u0142adnikowe (MFA) przy u\u017cyciu r\u00f3\u017cnych technik, w tym wy\u0142udzania informacji g\u0142osowych (“vishing”)\u00a0i\u00a0zm\u0119czenia MFA, czyli procesu polegaj\u0105cego na wysy\u0142aniu du\u017cej ilo\u015bci \u017c\u0105da\u0144 push do urz\u0105dzenia mobilnego celu, a\u017c u\u017cytkownik w ko\u0144cu kt\u00f3re\u015b z nich zaakceptuje, przypadkowo lub po prostu w celu pr\u00f3by wyciszenia\u00a0powtarzaj\u0105cych si\u0119 powiadomie\u0144 push, kt\u00f3re otrzymuje.<\/li>\n
- <\/li>\n<\/ul>\n
WA\u017bNE!<\/strong><\/p>\nVishing to coraz powszechniejsza technika in\u017cynierii spo\u0142ecznej, za pomoc\u0105 kt\u00f3rej<\/strong><\/p>\nnapastnicy pr\u00f3buj\u0105 podst\u0119pnie nak\u0142oni\u0107 pracownik\u00f3w do ujawnienia poufnych<\/strong><\/p>\ninformacji przez telefon.<\/strong><\/p>\n <\/p>\n
\n- W tym przypadku pracownik zg\u0142osi\u0142, \u017ce w ci\u0105gu kilku dni otrzyma\u0142 wiele telefon\u00f3w, w kt\u00f3rych rozm\u00f3wcy \u2013\u00a0m\u00f3wi\u0105cy po angielsku z r\u00f3\u017cnymi mi\u0119dzynarodowymi akcentami i dialektami \u2013 podawali si\u0119 za osoby zwi\u0105zane\u00a0z\u00a0 zaufanymi organizacjami wsparcia.\u00a0Po uzyskaniu pierwszego dost\u0119pu, napastnik dopisa\u0142 seri\u0119 nowych urz\u0105dze\u0144 do MFA i pomy\u015blnie przeszed\u0142 proces uwierzytelnienia do Cisco VPN.\u00a0Nast\u0119pnie napastnik eskalowa\u0142 do prawnie\u0144 administracyjnych, co pozwoli\u0142o mu zalogowa\u0107 si\u0119 do wielu\u00a0system\u00f3w.\u00a0Logowanie to zaalarmowa\u0142o zesp\u00f3\u0142 Cisco Security Incident Response Team (CSIRT), kt\u00f3ry nast\u0119pnie zareagowa\u0142\u00a0na incydent.<\/li>\n
- <\/li>\n<\/ul>\n
Wspomniany hacker porzuci\u0142 wiele narz\u0119dzi, w tym narz\u0119dzia zdalnego dost\u0119pu, takie jak LogMeIn i TeamViewer, ofensywne narz\u0119dzia bezpiecze\u0144stwa, takie jak Cobalt Strike, PowerSploit, Mimikatz i Impacket, a tak\u017ce doda\u0142 w\u0142asne konta backdoor i mechanizmy utrzymania dost\u0119pu.<\/p>\n
Kiedy ju\u017c padniesz ofiar\u0105 cyberataku. Jak dzia\u0142a\u0107?<\/h2>\n
Im sprawniejszy model post\u0119powania opracujesz, im szybciej i efektywniej zareagujesz na<\/strong><\/p>\nincydent, tym wi\u0119ksza szansa, \u017ce uda ci si\u0119 zabezpieczy\u0107 dost\u0119p do krytycznych<\/strong><\/p>\nelement\u00f3w infrastruktury organizacji. Pami\u0119taj, \u017ce zawsze mo\u017cesz skorzysta\u0107 z naszego<\/strong><\/p>\nwsparcia 24\/7.<\/strong><\/p>\n <\/p>\n
Po uzyskaniu wst\u0119pnego dost\u0119pu do \u015brodowiska, atakuj\u0105cy przeprowadzi\u0142 szereg dzia\u0142a\u0144 maj\u0105cych na celu<\/p>\n
utrzymanie dost\u0119pu, zminimalizowanie artefakt\u00f3w kryminalistycznych oraz zwi\u0119kszenie poziomu dost\u0119pu do<\/p>\n
system\u00f3w w \u015brodowisku.<\/p>\n
<\/p>\n
\n- Po wej\u015bciu do systemu, atakuj\u0105cy zacz\u0105\u0142 przeszukiwa\u0107 \u015brodowisko, u\u017cywaj\u0105c typowych wbudowanych narz\u0119dzi Windows, aby zidentyfikowa\u0107 konfiguracj\u0119 u\u017cytkownik\u00f3w i cz\u0142onk\u00f3w grupy w systemie, nazw\u0119 hosta oraz okre\u015bli\u0107 kontekst konta u\u017cytkownika, pod kt\u00f3rym dzia\u0142a\u0142.<\/li>\n
- Napastnik wydawa\u0142 polecenia zawieraj\u0105ce b\u0142\u0119dy typograficzne, co wskazywa\u0142o na r\u0119czn\u0105 interakcj\u0119 operatora w \u015brodowisku.<\/li>\n
- Po ustanowieniu dost\u0119pu do VPN, napastnik zacz\u0105\u0142 u\u017cywa\u0107 przej\u0119tego konta u\u017cytkownika do logowania si\u0119 do<\/li>\n
- du\u017cej liczby system\u00f3w, a nast\u0119pnie rozpocz\u0105\u0142 dalsz\u0105 penetracj\u0119 \u015brodowiska.<\/li>\n
- Przeni\u00f3s\u0142 si\u0119 do \u015brodowiska Citrix, uzyskuj\u0105c dost\u0119p do serii serwer\u00f3w Citrix i ostatecznie uzyska\u0142 uprzywilejowany dost\u0119p do kontroler\u00f3w domeny.<\/li>\n
- Po uzyskaniu dost\u0119pu do kontroler\u00f3w domeny, napastnik rozpocz\u0105\u0142 pr\u00f3b\u0119 zrzucenia z nich NTDS za pomoc\u0105<\/li>\n
- “ntdsutil.exe” zgodnego z nast\u0119puj\u0105c\u0105 sk\u0142adni\u0105:<\/li>\n<\/ul>\n
powershell ntdsutil.exe ‘ac i ntds’ ‘ifm’ ‘create full c:\\u0026apos;’ q q<\/em>\u00a0<\/em><\/p>\n <\/p>\n
\n- Nast\u0119pnie pracowa\u0142 nad eksfiltracj\u0105 zrzuconego NTDS poprzez SMB (TCP\/445) z kontrolera domeny do<\/li>\n
- kontrolowanego przez nich systemu VPN.<\/li>\n
- Po uzyskaniu dost\u0119pu do baz danych po\u015bwiadcze\u0144 zaobserwowano, \u017ce napastnik wykorzystuje konta<\/li>\n
- maszynowe do uprzywilejowanego uwierzytelniania i przemieszczania si\u0119 w poprzek \u015brodowiska.<\/li>\n<\/ul>\n
Jak dzia\u0142a cyberprzest\u0119pca w Twoim systemie?<\/h2>\n
Uwa\u017cna obserwacja, konsolidacja zdobytych informacji, opracowanie na ich podstawie<\/strong><\/p>\nchemat\u00f3w dzia\u0142ania cyberprzest\u0119pcy pozwala reagowa\u0107 szybciej i skuteczniej. Dzi\u0119ki<\/strong><\/p>\nwsp\u00f3\u0142pracy z Cybergen masz mo\u017cliwo\u015b\u0107 nie tylko przygotowa\u0107 si\u0119 i chroni\u0107 przed takim<\/strong><\/p>\natakiem, ale i nauczy\u0107 si\u0119 odpowiedniej reakcji, kiedy ju\u017c do niego dojdzie.<\/strong><\/p>\n <\/p>\n
Zgodnie z aktywno\u015bci\u0105 w innych oddzielnych, ale podobnych atakach, napastnik stworzy\u0142 w systemie<\/p>\n
u\u017cytkownika administracyjnego o nazwie “z” przy u\u017cyciu wbudowanych w system Windows polece\u0144 “net.exe”.<\/p>\n
Konto to zosta\u0142o nast\u0119pnie dodane do lokalnej grupy Administrator\u00f3w. W niekt\u00f3rych przypadkach atakuj\u0105cy<\/p>\n
zmienia\u0142 has\u0142a istniej\u0105cych lokalnych kont u\u017cytkownik\u00f3w na t\u0119 sam\u0105 warto\u015b\u0107, kt\u00f3ra zosta\u0142a przedstawiona<\/p>\n
poni\u017cej. Aktor ten utworzy\u0142 konto “z” w poprzednich dzia\u0142aniach przed inwazj\u0105 Rosji na Ukrain\u0119.<\/p>\n
<\/p>\n
C:indows system32 net user z Lh199211* \/add<\/em>\u00a0<\/em><\/p>\nC:indows system32net localgroup administrators z \/add<\/em><\/p>\n <\/p>\n
Konto to by\u0142o nast\u0119pnie wykorzystywane w niekt\u00f3rych przypadkach do uruchamiania dodatkowych narz\u0119dzi,<\/p>\n
takich jak adfind czy secretsdump, w celu pr\u00f3by wyliczenia \u015brodowiska us\u0142ug katalogowych i uzyskania<\/p>\n
dodatkowych danych uwierzytelniaj\u0105cych. Dodatkowo, zaobserwowano pr\u00f3by wyodr\u0119bnienia informacji z<\/p>\n
rejestru, w tym bazy danych SAM, na zaatakowanych hostach Windows.<\/p>\n
<\/p>\n
reg save hklm system<\/em>\u00a0<\/em><\/p>\nreg save hklmsam sam<\/em>\u00a0<\/em><\/p>\nreg save HKLMsecurity sec<\/em><\/p>\nNa niekt\u00f3rych systemach zaobserwowano, \u017ce napastnik u\u017cy\u0142 MiniDump z Mimikatz do zrzucenia LSASS.<\/p>\n
tasklist | findstr lsass<\/em>\u00a0<\/em><\/p>\nrundll32.exe C:\\system32 \\svcs.dll, MiniDump [LSASS_PID] C:\\system32 \\sass.dmp full<\/em><\/p>\n <\/p>\n
Atakuj\u0105cy podj\u0105\u0142 r\u00f3wnie\u017c kroki w celu usuni\u0119cia dowod\u00f3w dzia\u0142a\u0144 wykonywanych na przej\u0119tych systemach<\/p>\n
poprzez usuni\u0119cie wcze\u015bniej utworzonego lokalnego konta Administratora. Wykorzysta\u0142 r\u00f3wnie\u017c narz\u0119dzie<\/p>\n
“wevtutil.exe” do identyfikacji i wyczyszczenia dziennik\u00f3w zdarze\u0144 generowanych w systemie.<\/p>\n
<\/p>\n
wevtutil.exe el<\/em>\u00a0<\/em><\/p>\nwevtutil.exe cl [LOGNAME]<\/em><\/p>\n <\/p>\n
W wielu przypadkach atakuj\u0105cy usun\u0105\u0142 utworzone wcze\u015bniej konto lokalnego administratora.<\/p>\n
net user z \/delete<\/em><\/p>\n <\/p>\n
W celu przenoszenia plik\u00f3w pomi\u0119dzy systemami w \u015brodowisku, atakuj\u0105cy cz\u0119sto wykorzystywa\u0142 protok\u00f3\u0142 zdalnego pulpitu (RDP) oraz Citrix. Modyfikowa\u0142 on konfiguracje zapory ogniowej na ho\u015bcie, aby umo\u017cliwi\u0107 dost\u0119p RDP<\/p>\n
do system\u00f3w.<\/p>\n
<\/p>\n
netsh advfirewall firewall set rule group=remote desktop new enable=Yes<\/em><\/p>\n <\/p>\n
Podj\u0105\u0142 tak\u017ce instalacj\u0119 dodatkowych narz\u0119dzi zdalnego dost\u0119pu, takich jak TeamViewer i LogMeIn.<\/p>\n
<\/p>\n
C:\\Windows \\System32 \\msiexec.exe \/i C:\\Users \\MeIn.msi<\/em><\/p>\n <\/p>\n
Atakuj\u0105cy cz\u0119sto wykorzystywa\u0142 techniki omijania logowania do systemu Windows, aby zachowa\u0107 mo\u017cliwo\u015b\u0107<\/p>\n
dost\u0119pu do system\u00f3w w \u015brodowisku z podwy\u017cszonymi uprawnieniami. Cz\u0119sto polega\u0142 na PSEXESVC.exe, aby<\/p>\n
zdalnie doda\u0107 nast\u0119puj\u0105ce warto\u015bci klucza rejestru:<\/p>\n
<\/p>\n
HKLM Microsoft Windows NT CurrentVersion Image File Execution Options -narrator.exe \/v Debugger \/t REG_SZ \/d C:\\system32 \\systemd.exe \/f<\/em>\u00a0<\/em><\/p>\nHKLM Microsoft NT CurrentVersion Image File Execution Options \/v Debugger \/t REG_SZ \/d C:indows system32cmd.exe \/f<\/em><\/p>\n <\/p>\n
Dzi\u0119ki temu napastnik m\u00f3g\u0142 wykorzysta\u0107 funkcje dost\u0119pno\u015bci obecne na ekranie logowania do systemu Windows, aby wywo\u0142a\u0107 wiersz polece\u0144 na poziomie SYSTEM, co dawa\u0142o mu pe\u0142n\u0105 kontrol\u0119 nad systemem. W kilku<\/p>\n
przypadkach mo\u017cna by\u0142o zaobserwowa\u0107, jak napastnik dodaje te klucze, ale nie wchodzi w dalsz\u0105 interakcj\u0119<\/p>\n
z systemem. Prawdopodobnie przygotowywa\u0142 mechanizm uporczywo\u015bci, kt\u00f3ry mia\u0142 zosta\u0107 wykorzystany p\u00f3\u017aniej, gdy jego g\u0142\u00f3wny uprzywilejowany dost\u0119p zostanie odebrany.<\/p>\n
<\/p>\n
Podczas ca\u0142ego ataku pojawia\u0142y si\u0119 pr\u00f3by eksfiltracji informacji z otoczenia. Jedyna udana eksfiltracja danych,<\/p>\n
jaka mia\u0142a miejsce podczas ataku, obejmowa\u0142a zawarto\u015b\u0107 folderu Box, kt\u00f3ry by\u0142 powi\u0105zany z przej\u0119tym kontem<\/p>\n
pracownika oraz dane uwierzytelniaj\u0105ce pracownika z Active Directory. Dane Box uzyskane przez adwersarza w<\/p>\n
tym przypadku nie by\u0142y wra\u017cliwe.<\/p>\n
<\/p>\n
W ci\u0105gu kilku tygodni po usuni\u0119ciu napastnika ze \u015brodowiska, podejmowa\u0142 on ci\u0105g\u0142e pr\u00f3by przywr\u00f3cenia dost\u0119pu. W wi\u0119kszo\u015bci przypadk\u00f3w atakuj\u0105cy celowa\u0142 w s\u0142ab\u0105 higien\u0119 rotacji hase\u0142 po obowi\u0105zkowych resetach hase\u0142<\/p>\n
pracownik\u00f3w.<\/p>\n
<\/p>\n
\n- W pierwszej kolejno\u015bci atakowa\u0142 u\u017cytkownik\u00f3w, kt\u00f3rzy wed\u0142ug niego dokonali zmian pojedynczych znak\u00f3w w<\/li>\n
- swoich poprzednich has\u0142ach, pr\u00f3buj\u0105c wykorzysta\u0107 te dane do uwierzytelnienia i odzyskania dost\u0119pu do sieci<\/li>\n
- Cisco VPN.<\/li>\n
- Atakuj\u0105cy pocz\u0105tkowo wykorzystywa\u0142 us\u0142ugi anonimizacji ruchu, takie jak Tor; jednak po do\u015bwiadczeniu<\/li>\n
- ograniczonego sukcesu, przestawi\u0142 si\u0119 na pr\u00f3by ustanowienia nowych sesji VPN z publicznej przestrzeni IP przy<\/li>\n
- u\u017cyciu\u00a0kont wcze\u015bniej przej\u0119tych w pocz\u0105tkowej fazie ataku.<\/li>\n
- Zaobserwowa\u0107 mo\u017cna by\u0142o tak\u017ce rejestracj\u0119 kilku dodatkowych domen odnosz\u0105cych si\u0119 do organizacji podczas reagowania na atak. Zesp\u00f3\u0142 cyberbezpiecze\u0144stwa podj\u0105\u0142 jednak odpowiednie dzia\u0142ania, zanim mog\u0142y one zosta\u0107 wykorzystane do z\u0142ych cel\u00f3w.<\/li>\n<\/ul>\n
Po udanym usuni\u0119ciu ze \u015brodowiska, adwersarz wielokrotnie pr\u00f3bowa\u0142 nawi\u0105za\u0107 komunikacj\u0119<\/p>\n
mailow\u0105 z cz\u0142onkami zarz\u0105du organizacji, ale nie formu\u0142owa\u0142 \u017cadnych konkretnych gr\u00f3\u017ab ani \u017c\u0105da\u0144 wymuszenia. W jednym z e-maili za\u0142\u0105czy\u0142 zrzut ekranu pokazuj\u0105cy listing katalogowy danych Box,<\/p>\n
kt\u00f3re zosta\u0142y wcze\u015bniej eksfiltrowane w spos\u00f3b opisany wy\u017cej. Poni\u017cej znajduje si\u0119 zrzut ekranu<\/p>\n
jednego z otrzymanych e-maili. Adwersarz zredagowa\u0142 zrzut ekranu z list\u0105 katalog\u00f3w przed wys\u0142aniem wiadomo\u015bci e-mail.<\/p>\n
![\"\"](\"https:\/\/blogger.googleusercontent.com\/img\/a\/AVvXsEg05ePFu0_9RcSFqMVQMzu7WrET3FKnyxFpwm_EmKz3jz8lkLdcR1_nvyMwrahbnNzIIowF6NbNhmc-8OcPtty6qBAD0Gq6WrgAxtiuyW3jY1oH3scQZWobYFpwlbfL8l_8b9stfHBLFR63YpKqLGiYq0GnFMN7YeH3tVXzQLf3vLPkWYr8bDY4Bzv8QQ=w640-h390\")
<\/p>\n
Zwr\u00f3\u0107 na to uwag\u0119: analiza backdoora, kt\u00f3ra mo\u017ce Ci si\u0119 przyda\u0107<\/h2>\n
Atakuj\u0105cy zrzuci\u0142 na systemy seri\u0119 payload\u00f3w, kt\u00f3re analizujemy poni\u017cej. Zach\u0119camy Ci\u0119<\/strong><\/p>\ndo zapoznania si\u0119 z tym opracowaniem, poniewa\u017c pozwoli ci ono zyska\u0107 kolejn\u0105 porcj\u0119<\/strong><\/p>\npraktycznej wiedzy o aktualnych modelach dzia\u0142ania cyberprzest\u0119pcy.<\/strong><\/p>\n <\/p>\n
\n- Pierwszy \u0142adunek to prosty backdoor, kt\u00f3ry pobiera polecenia z serwera dowodzenia i kontroli (C2) i wykonuje je<\/li>\n
- na systemie ko\u0144cowym za po\u015brednictwem procesora polece\u0144 Windows.<\/li>\n
- Polecenia s\u0105 wysy\u0142ane w postaci blob\u00f3w JSON i s\u0105 standardem dla backdoora. Istnieje polecenie “DELETE_SELF”, kt\u00f3re ca\u0142kowicie usuwa backdoora z systemu.<\/li>\n
- Inne, bardziej interesuj\u0105ce polecenie, “WIPE”, instruuje backdoora, aby usun\u0105\u0142 z pami\u0119ci ostatnio wykonane<\/li>\n
- polecenie, prawdopodobnie z zamiarem negatywnego wp\u0142ywu na analiz\u0119 kryminalistyczn\u0105 na wszystkich<\/li>\n
- zaatakowanych hostach.<\/li>\n
- Polecenia s\u0105 pobierane poprzez wykonanie \u017c\u0105dania HTTP GET do serwera C2 przy u\u017cyciu nast\u0119puj\u0105cej struktury:<\/li>\n<\/ul>\n
\/bot\/cmd.php?botid=%.8x<\/em><\/p>\n\n- Z\u0142o\u015bliwe oprogramowanie komunikuje si\u0119 r\u00f3wnie\u017c z serwerem C2 za pomoc\u0105 \u017c\u0105da\u0144 HTTP GET o nast\u0119puj\u0105cej<\/li>\n
- strukturze:<\/li>\n<\/ul>\n
\/bot\/gate.php?botid=%.8x<\/em><\/p>\n\n- Po pierwszym \u017c\u0105daniu z zainfekowanego systemu, serwer C2 odpowiada skr\u00f3tem SHA256. Zaobserwowali\u015bmy dodatkowe \u017c\u0105dania wykonywane co 10 sekund.<\/li>\n
- Wspomniane \u017c\u0105dania HTTP s\u0105 wysy\u0142ane przy u\u017cyciu nast\u0119puj\u0105cego ci\u0105gu user-agent:<\/li>\n<\/ul>\n
Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, jak Gecko) Chrome\/99.0.4844.51 Safari\/537.36 Edg\/99.0.1150.36 Trailer\/95.3.1132.33<\/em><\/p>\n <\/p>\n
\n- Malware tworzy r\u00f3wnie\u017c plik o nazwie “bdata.ini” w bie\u017c\u0105cym katalogu roboczym malware, kt\u00f3ry zawiera warto\u015b\u0107 pochodz\u0105c\u0105 z numeru seryjnego woluminu obecnego w zainfekowanym systemie. W przypadkach, w kt\u00f3rych ten backdoor zosta\u0142 wykonany, zaobserwowano, \u017ce z\u0142o\u015bliwe oprogramowanie dzia\u0142a\u0142o z nast\u0119puj\u0105cej lokalizacji<\/li>\n
- katalogu:<\/li>\n
- <\/li>\n<\/ul>\n
C:\\u2008cmd.exe.<\/em><\/p>\n\n- Cz\u0119sto obserwowano, jak napastnik umieszcza\u0142 narz\u0119dzia w katalogach pod profilem u\u017cytkownika Public na systemach, z kt\u00f3rych dzia\u0142a\u0142.<\/li>\n<\/ul>\n
Na podstawie analizy infrastruktury C2 zwi\u0105zanej z tym backdoorem oceniamy, \u017ce serwer C2 zosta\u0142 skonfigurowany specjalnie do tego ataku.<\/strong><\/p>\nAtrybucja ataku<\/h2>\n
Na podstawie uzyskanych artefakt\u00f3w, zidentyfikowanych taktyk, technik i procedur (TTP), wykorzystanej<\/p>\n
infrastruktury oraz dok\u0142adnej analizy backdoora u\u017cytego w tym ataku, oceni\u0107 mo\u017cna umiarkowan\u0105 lub wysok\u0105<\/p>\n
pewno\u015bci\u0105, \u017ce ten atak zosta\u0142 przeprowadzony przez przeciwnika, kt\u00f3ry zosta\u0142 wcze\u015bniej zidentyfikowany jako<\/p>\n
broker dost\u0119pu wst\u0119pnego (IAB) z powi\u0105zaniami zar\u00f3wno z UNC2447, jak i Lapsus$. IAB zazwyczaj pr\u00f3buj\u0105<\/p>\n
uzyska\u0107 uprzywilejowany dost\u0119p do korporacyjnych \u015brodowisk sieciowych, a nast\u0119pnie spieni\u0119\u017cy\u0107 ten dost\u0119p,<\/p>\n
sprzedaj\u0105c go innym uczestnikom zagro\u017ce\u0144, kt\u00f3rzy mog\u0105 go wykorzysta\u0107 do r\u00f3\u017cnych cel\u00f3w. Zaobserwowa\u0107<\/p>\n
mo\u017cna by\u0142o r\u00f3wnie\u017c wcze\u015bniejsze dzia\u0142ania \u0142\u0105cz\u0105ce tego atakuj\u0105cego z gangiem ransomware Yanluowang, w tym wykorzystanie strony Yanluowang data leak do umieszczania danych skradzionych ze skompromitowanych<\/p>\n
organizacji.<\/p>\n
<\/p>\n
UNC2447 jest organizacj\u0105 o motywacji finansowej, powi\u0105zan\u0105 z Rosj\u0105, kt\u00f3ra wcze\u015bniej przeprowadza\u0142a ataki<\/p>\n
ransomware i wykorzystywa\u0142a technik\u0119 znan\u0105 jako “podw\u00f3jne wymuszenie”, w kt\u00f3rej dane s\u0105 wymazywane przed wdro\u017ceniem ransomware w celu zmuszenia ofiar do zap\u0142acenia okupu. Wcze\u015bniejsze raporty wskazuj\u0105, \u017ce<\/p>\n
UNC2447 by\u0142o obecne przy obs\u0142udze r\u00f3\u017cnych rodzaj\u00f3w ransomware, w tym FIVEHANDS, HELLOKITTY i innych.<\/p>\n
<\/p>\n
Opr\u00f3cz UNC2447, niekt\u00f3re z TTP odkryte w trakcie naszego dochodzenia pasuj\u0105 do Lapsus$. Lapsus$ to grupa,<\/p>\n
kt\u00f3ra wed\u0142ug doniesie\u0144 by\u0142a odpowiedzialna za kilka poprzednich godnych uwagi narusze\u0144 \u015brodowisk<\/p>\n
korporacyjnych. Na pocz\u0105tku tego roku odnotowano kilka aresztowa\u0144 cz\u0142onk\u00f3w Lapsus$. Lapsus$ zosta\u0142<\/p>\n
zaobserwowany podczas w\u0142ama\u0144 do \u015brodowisk korporacyjnych i pr\u00f3b eksfiltracji poufnych informacji.<\/p>\n
<\/p>\n
Chocia\u017c nie zaobserwowali\u015bmy wdro\u017cenia oprogramowania ransomware w tym ataku, zastosowane metody TTP by\u0142y zgodne z “aktywno\u015bci\u0105 przedransomware’ow\u0105”, czyli dzia\u0142aniami powszechnie obserwowanymi przed<\/p>\n
wdro\u017ceniem oprogramowania ransomware w \u015brodowiskach ofiar. Wiele z zaobserwowanych TTP jest zgodnych z dzia\u0142aniami zaobserwowanymi przez CTIR podczas poprzednich atak\u00f3w. Nasza analiza sugeruje r\u00f3wnie\u017c<\/p>\n
ponowne wykorzystanie infrastruktury po stronie serwera zwi\u0105zanej z tymi poprzednimi dzia\u0142aniami. W<\/p>\n
poprzednich dzia\u0142aniach nie zaobserwowali\u015bmy r\u00f3wnie\u017c wdra\u017cania oprogramowania ransomware w<\/p>\n
\u015brodowiskach ofiar.<\/p>\n
Jak reagowa\u0107? Model post\u0119powania i dalsze zalecenia<\/h2>\n
Na przyk\u0142adzie dzia\u0142a\u0144 zespo\u0142u ds. cyberbezpiecze\u0144stwa mo\u017cesz zobaczy\u0107, jak w praktyce wygl\u0105da odpieranie tak skonstruowanego ataku. Obawiasz si\u0119 podobnych incydent\u00f3w? Pad\u0142e\u015b ofiar\u0105 dzia\u0142aj\u0105cego analogicznie<\/p>\n
adwersarza? Skontaktuj si\u0119 z naszymi ekspertami, kt\u00f3rzy pomog\u0105 ci zbudowa\u0107 odpowiednie zabezpieczenia.<\/p>\n
Firma wdro\u017cy\u0142a reset has\u0142a w ca\u0142ej firmie natychmiast po uzyskaniu informacji o incydencie. CTIR zaobserwowa\u0142 wcze\u015bniej podobne TTP w licznych dochodzeniach od 2021 roku. Nasze ustalenia i kolejne zabezpieczenia<\/p>\n
wynikaj\u0105ce z zaanga\u017cowania klient\u00f3w, pomog\u0142y nam spowolni\u0107 i powstrzyma\u0107 progresj\u0119 atakuj\u0105cego.<\/p>\n
Stworzyli\u015bmy dwie sygnatury ClamAV, kt\u00f3re s\u0105 wymienione poni\u017cej.<\/p>\n
<\/p>\n
\n- Exploit.Kolobko-9950675-0<\/li>\n
- Backdoor.Kolobko-9950676-0<\/li>\n
- <\/li>\n<\/ul>\n
Ataki tego typu wyst\u0119puj\u0105 cz\u0119sto, a nadal sporo firm ma problem, aby sobie z nimi poradzi\u0107. Dlaczego? Brakuje wiedzy! Edukacja u\u017cytkownik\u00f3w jest najwa\u017cniejsza w udaremnianiu<\/strong><\/p>\ntakich atak\u00f3w. Pracownicy powinni zna\u0107 legalne sposoby, w jakie personel wsparcia<\/strong><\/p>\ntechnicznego kontaktuje si\u0119 z u\u017cytkownikami i rozpoznawa\u0107 niepokoj\u0105ce sygna\u0142y. Warto<\/strong><\/p>\nzrobi\u0107 wiele w zakresie edukacji, tak aby pracownicy mogli zidentyfikowa\u0107 nieuczciwe<\/strong><\/p>\npr\u00f3by uzyskania poufnych informacji.<\/strong><\/p>\n <\/p>\n
Bior\u0105c pod uwag\u0119 wykazan\u0105 bieg\u0142o\u015b\u0107 aktora w stosowaniu szerokiego wachlarza technik w celu uzyskania<\/p>\n
pierwszego dost\u0119pu, edukacja u\u017cytkownik\u00f3w jest r\u00f3wnie\u017c kluczow\u0105 cz\u0119\u015bci\u0105 przeciwdzia\u0142ania technikom<\/p>\n
omijania MFA.<\/p>\n
<\/p>\n
Sprawd\u017a nasze podpowiedzi!<\/strong><\/p>\n <\/p>\n
\n- R\u00f3wnie wa\u017cne przy wdra\u017caniu MFA jest zapewnienie, \u017ce pracownicy s\u0105 przeszkoleni w zakresie tego, co robi\u0107 i jak reagowa\u0107, je\u015bli otrzymuj\u0105 b\u0142\u0119dne \u017c\u0105dania push na swoich telefonach.<\/li>\n
- Istotne jest r\u00f3wnie\u017c, aby edukowa\u0107 pracownik\u00f3w, z kim maj\u0105 si\u0119 kontaktowa\u0107 w przypadku wyst\u0105pienia takich<\/li>\n
- incydent\u00f3w, aby pom\u00f3c w ustaleniu, czy zdarzenie by\u0142o problemem technicznym czy z\u0142o\u015bliwym dzia\u0142aniem.<\/li>\n
- Dla Duo korzystne jest wdro\u017cenie silnej weryfikacji urz\u0105dze\u0144 poprzez egzekwowanie \u015bci\u015blejszej kontroli statusu<\/li>\n
- urz\u0105dze\u0144 w celu ograniczenia lub zablokowania zapis\u00f3w i dost\u0119pu z niezarz\u0105dzanych lub nieznanych urz\u0105dze\u0144.<\/li>\n
- Dodatkowo, wykorzystanie detekcji ryzyka w celu podkre\u015blenia zdarze\u0144 takich jak nowe urz\u0105dzenie u\u017cywane z<\/li>\n
- nierealnej lokalizacji lub wzorc\u00f3w ataku takich jak loginy brute force mo\u017ce pom\u00f3c w wykryciu nieautoryzowanego dost\u0119pu.<\/li>\n<\/ul>\n
Przed zezwoleniem na po\u0142\u0105czenia VPN ze zdalnych punkt\u00f3w ko\u0144cowych nale\u017cy upewni\u0107 si\u0119, \u017ce sprawdzanie<\/p>\n
postawy jest skonfigurowane w celu egzekwowania podstawowego zestawu kontroli bezpiecze\u0144stwa. Dzi\u0119ki temu mo\u017cna mie\u0107 pewno\u015b\u0107, \u017ce pod\u0142\u0105czane urz\u0105dzenia spe\u0142niaj\u0105 wymagania bezpiecze\u0144stwa obecne w \u015brodowisku. Mo\u017ce to r\u00f3wnie\u017c zapobiec pod\u0142\u0105czeniu do \u015brodowiska sieci korporacyjnej urz\u0105dze\u0144 nieuprawnionych, kt\u00f3re nie<\/p>\n
zosta\u0142y wcze\u015bniej zatwierdzone.<\/p>\n
<\/p>\n
Segmentacja sieci to kolejna wa\u017cna kontrola bezpiecze\u0144stwa, kt\u00f3r\u0105 organizacje powinny stosowa\u0107, poniewa\u017c<\/p>\n
zapewnia ona zwi\u0119kszon\u0105 ochron\u0119 aktyw\u00f3w o wysokiej warto\u015bci, a tak\u017ce umo\u017cliwia skuteczniejsze wykrywanie<\/p>\n
i reagowanie w sytuacjach, gdy przeciwnik jest w stanie uzyska\u0107 pocz\u0105tkowy dost\u0119p do \u015brodowiska.<\/p>\n
Scentralizowane zbieranie log\u00f3w mo\u017ce pom\u00f3c zminimalizowa\u0107 brak widoczno\u015bci, kt\u00f3ry wynika z tego, \u017ce<\/p>\n
napastnik podejmuje aktywne kroki w celu usuni\u0119cia log\u00f3w z system\u00f3w. Zapewnienie, \u017ce dane z dziennik\u00f3w<\/p>\n
generowane przez punkty ko\u0144cowe s\u0105 centralnie gromadzone i analizowane pod k\u0105tem anomalii lub jawnie<\/p>\n
z\u0142o\u015bliwych zachowa\u0144 mo\u017ce dostarczy\u0107 wczesnych wskaz\u00f3wek, \u017ce atak jest w toku.<\/p>\n
<\/p>\n
W wielu przypadkach zaobserwowano, \u017ce podmioty odpowiedzialne za zagro\u017cenia obra\u0142y za cel infrastruktur\u0119<\/p>\n
kopii zapasowych, pr\u00f3buj\u0105c w ten spos\u00f3b jeszcze bardziej ograniczy\u0107 zdolno\u015b\u0107 organizacji do odzyskania danych po ataku. Zapewnienie, \u017ce kopie zapasowe s\u0105 offline i okresowo testowane mo\u017ce pom\u00f3c w ograniczeniu tego<\/p>\n
ryzyka i zapewni\u0107 zdolno\u015b\u0107 organizacji do skutecznego odzyskania danych po ataku.<\/p>\n
<\/p>\n
Audyt wykonywania wiersza polece\u0144 na punktach ko\u0144cowych mo\u017ce r\u00f3wnie\u017c zapewni\u0107 wi\u0119ksz\u0105 widoczno\u015b\u0107<\/p>\n
dzia\u0142a\u0144 wykonywanych w systemach w \u015brodowisku i mo\u017ce by\u0107 wykorzystany do wykrycia podejrzanego<\/p>\n
wykonywania wbudowanych narz\u0119dzi systemu Windows, co jest powszechnie obserwowane podczas w\u0142ama\u0144,<\/p>\n
w kt\u00f3rych atakuj\u0105cy polegaj\u0105 na \u0142agodnych aplikacjach lub narz\u0119dziach ju\u017c obecnych w \u015brodowisku w celu<\/p>\n
wyliczenia, eskalacji przywilej\u00f3w i dzia\u0142a\u0144 zwi\u0105zanych z przemieszczaniem si\u0119 na boki.<\/p>\n
<\/p>\n
Masz poczucie, \u017ce Twoje procedury nie chroni\u0105 organizacji tak, jakby\u015b tego oczekiwa\u0142?<\/strong><\/p>\nChcesz lepiej przygotowa\u0107 pracownik\u00f3w na sytuacj\u0119 analogicznego ataku? A mo\u017ce<\/strong><\/p>\nszukasz narz\u0119dzi, kt\u00f3re pozwol\u0105 Twojemu zespo\u0142owi ds. cyberbezpiecze\u0144stwa lepiej<\/strong><\/p>\nidentyfikowa\u0107 zagro\u017cenia i optymalizowa\u0107 priorytety dzia\u0142ania na wypadek ataku?<\/strong><\/p>\nSpecjali\u015bci Cybergen s\u0105 do Twojej dyspozycji. Skontaktuj si\u0119 z nami i dowiedz si\u0119, jak<\/strong><\/p>\nskutecznie broni\u0107 si\u0119 przed podobnymi incydentami!<\/strong><\/p>\nPoznaj szczeg\u00f3\u0142y. Mapowanie Mitre ATT&CK<\/h2>\n
Wszystkie opisane wcze\u015bniej TTP, kt\u00f3re zosta\u0142y zaobserwowane w tym ataku, zosta\u0142y wymienione poni\u017cej w<\/p>\n
oparciu o faz\u0119 ataku, w kt\u00f3rej wyst\u0105pi\u0142y.<\/p>\n
<\/p>\n
<\/p>\n
Wst\u0119pny dost\u0119p<\/h3>\n
ATT&CK Technique : Phishing (T1566)<\/a><\/p>\nATT&CK Technique : Valid Accounts (T1078)<\/a><\/p>\n <\/p>\n
<\/p>\n
Wykonanie<\/h3>\n
ATT&CK Technique : System Services: Service Execution (T1569.002)<\/a><\/p>\n <\/p>\n
<\/p>\n
Utrzymanie dost\u0119pu<\/h3>\n
ATT&CK Technique : Create Account: Local Account (T1136.001)<\/a><\/p>\nATT&CK Technique : Account Manipulation: Device Registration (T1098.005)<\/a><\/p>\n <\/p>\n
<\/p>\n
Eskalacja uprawnie\u0144<\/h3>\n
ATT&CK Technique : Event Triggered Execution: Image File Execution Options Injection<\/a><\/p>\n(T1546.012)<\/a><\/p>\n <\/p>\n
<\/p>\n
Techniki unikania<\/h3>\n
ATT&CK Technique : Indicator Removal on Host (T1070)<\/a><\/p>\nATT&CK Technique : Indicator Removal on Host: Clear Windows Event Logs (T1070.001)<\/a><\/p>\nATT&CK Technique : Masquerading: Match Legitimate Name or Location (T1036.005)<\/a><\/p>\nATT&CK Technique : Impair Defenses: Disable or Modify System Firewall (T1562.004)<\/a><\/p>\nATT&CK Technique : Modify Registry (T1112)<\/a><\/p>\n <\/p>\n
<\/p>\n
Dost\u0119p do danych uwierzytelniaj\u0105cych<\/h3>\n
ATT&CK Technique : OS Credential Dumping: LSASS Memory (T1003.001)<\/a><\/p>\nATT&CK Technique : OS Credential Dumping: Security Account Manager (T1003.002)<\/a><\/p>\nATT&CK Technique : OS Credential Dumping: NTDS (T1003.003)<\/a><\/p>\nATT&CK Technique : Multi-Factor Authentication Request Generation (T1621)<\/a><\/p>\n <\/p>\n
<\/p>\n
Ruchy boczne<\/h3>\n
ATT&CK Technique : Remote Services (T1021)<\/a><\/p>\n <\/p>\n
<\/p>\n
Wykrywanie<\/h3>\n
ATT&CK Technique : Query Registry (T1012)<\/a><\/p>\n <\/p>\n
<\/p>\n
Dowodzenie i kontrola<\/h3>\n
ATT&CK Technique : Application Layer Protocol: Web Protocols (T1071.001)<\/a><\/p>\nATT&CK Technique : Remote Access Software (T1219)<\/a><\/p>\nATT&CK Technique: Encrypted Channel: Asymmetric Cryptography (T1573.002)<\/a><\/p>\nATT&CK Technique : Proxy: Multi-hop Proxy (T1090.003)<\/a><\/p>\nExfiltracja<\/h3>\n
ATT&CK Technique : Exfiltration Over Alternative Protocol (T1048)<\/a><\/p>\nWska\u017aniki kompromitacji<\/h2>\n
Zaobserwowano nast\u0119puj\u0105ce wska\u017aniki kompromitacji zwi\u0105zane z tym atakiem.<\/p>\n
<\/p>\n
<\/p>\n
Hashe (SHA256)<\/h3>\n
184a2570d71eedc3c77b63fd9d2a066cd025d20ceef0f75d428c6f7e5c6965f3<\/p>\n
2fc5bf9edcfa19d48e235315e8f571638c99a1220be867e24f3965328fe94a03<\/p>\n
542c9da985633d027317e9a226ee70b4f0742dcbc59dfd2d4e59977bb870058d<\/p>\n
61176a5756c7b953bc31e5a53580d640629980a344aa5ff147a20fb7d770b610<\/p>\n
753952aed395ea845c52e3037f19738cfc9a415070515de277e1a1baeff20647<\/p>\n
8df89eef51cdf43b2a992ade6ad998b267ebb5e61305aeb765e4232e66eaf79a<\/p>\n
8e5733484982d0833abbd9c73a05a667ec2d9d005bbf517b1c8cd4b1daf57190<\/p>\n
99be6e7e31f0a1d7eebd1e45ac3b9398384c1f0fa594565137abb14dc28c8a7f<\/p>\n
bb62138d173de997b36e9b07c20b2ca13ea15e9e6cd75ea0e8162e0d3ded83b7<\/p>\n
eb3452c64970f805f1448b78cd3c05d851d758421896edd5dfbe68e08e783d18<\/p>\n
<\/p>\n
<\/p>\n
Adresy IP<\/h3>\n
104.131.30[.]201<\/p>\n
108.191.224[.]47<\/p>\n
131.150.216[.]118<\/p>\n
134.209.88[.]140<\/p>\n
138.68.227[.]71<\/p>\n
139.177.192[.]145<\/p>\n
139.60.160[.]20<\/p>\n
139.60.161[.]99<\/p>\n
143.198.110[.]248<\/p>\n
143.198.131[.]210<\/p>\n
159.65.246[.]188<\/p>\n
161.35.137[.]163<\/p>\n
162.33.177[.]27<\/p>\n
162.33.178[.]244<\/p>\n
162.33.179[.]17<\/p>\n
165.227.219[.]211<\/p>\n
165.227.23[.]218<\/p>\n
165.232.154[.]73<\/p>\n
166.205.190[.]23<\/p>\n
167.99.160[.]91<\/p>\n
172.56.42[.]39<\/p>\n
172.58.220[.]52<\/p>\n
172.58.239[.]34<\/p>\n
174.205.239[.]164<\/p>\n
176.59.109[.]115<\/p>\n
178.128.171[.]206<\/p>\n
185.220.100[.]244<\/p>\n
185.220.101[.]10<\/p>\n
185.220.101[.]13<\/p>\n
185.220.101[.]15<\/p>\n
185.220.101[.]16<\/p>\n
185.220.101[.]2<\/p>\n
185.220.101[.]20<\/p>\n
185.220.101[.]34<\/p>\n
185.220.101[.]45<\/p>\n
185.220.101[.]6<\/p>\n
185.220.101[.]65<\/p>\n
185.220.101[.]73<\/p>\n
185.220.101[.]79<\/p>\n
185.220.102[.]242<\/p>\n
185.220.102[.]250<\/p>\n
192.241.133[.]130<\/p>\n
194.165.16[.]98<\/p>\n
195.149.87[.]136<\/p>\n
24.6.144[.]43<\/p>\n
45.145.67[.]170<\/p>\n
45.227.255[.]215<\/p>\n
45.32.141[.]138<\/p>\n
45.32.228[.]189<\/p>\n
45.32.228[.]190<\/p>\n
45.55.36[.]143<\/p>\n
45.61.136[.]207<\/p>\n
45.61.136[.]5<\/p>\n
45.61.136[.]83<\/p>\n
46.161.27[.]117<\/p>\n
5.165.200[.]7<\/p>\n
52.154.0[.]241<\/p>\n
64.227.0[.]177<\/p>\n
64.4.238[.]56<\/p>\n
65.188.102[.]43<\/p>\n
66.42.97[.]210<\/p>\n
67.171.114[.]251<\/p>\n
68.183.200[.]63<\/p>\n
68.46.232[.]60<\/p>\n
73.153.192[.]98<\/p>\n
74.119.194[.]203<\/p>\n
74.119.194[.]4<\/p>\n
76.22.236[.]142<\/p>\n
82.116.32[.]77<\/p>\n
87.251.67[.]41<\/p>\n
94.142.241[.]194<\/p>\n
<\/p>\n
<\/p>\n
Domeny<\/h3>\n
cisco-help[.]cf<\/p>\n
cisco-helpdesk[.]cf<\/p>\n
ciscovpn1[.]com<\/p>\n
ciscovpn2[.]com<\/p>\n
ciscovpn3[.]com<\/p>\n
devcisco[.]com<\/p>\n
devciscoprograms[.]com<\/p>\n
helpzonecisco[.]com<\/p>\n
kazaboldu[.]net<\/p>\n
mycisco[.]cf<\/p>\n
mycisco[.]gq<\/p>\n
mycisco-helpdesk[.]ml<\/p>\n
primecisco[.]com<\/p>\n
pwresetcisco[.]com<\/p>\n
<\/p>\n
<\/p>\n
Adresy e-mail<\/h3>\n
costacancordia[@]protonmail[.]com<\/p>\n
<\/p>\n
Pocz\u0105tkowy wektor, czyli jak cyberprzest\u0119pca zyskuje dost\u0119p<\/h2>\n
Zidentyfikowanie pierwszego \u017ar\u00f3d\u0142a dost\u0119pu jest absolutnie kluczowe dla zrozumienia modelu ataku i skutecznej obrony przed analogicznymi pr\u00f3bami w przysz\u0142o\u015bci.<\/strong><\/p>\n <\/p>\n Pocz\u0105tkowy dost\u0119p do sieci Cisco VPN zosta\u0142 uzyskany poprzez udane naruszenie osobistego konta Google\u00a0pracownika:<\/p>\n <\/p>\n WA\u017bNE!<\/strong><\/p>\n Vishing to coraz powszechniejsza technika in\u017cynierii spo\u0142ecznej, za pomoc\u0105 kt\u00f3rej<\/strong><\/p>\n napastnicy pr\u00f3buj\u0105 podst\u0119pnie nak\u0142oni\u0107 pracownik\u00f3w do ujawnienia poufnych<\/strong><\/p>\n informacji przez telefon.<\/strong><\/p>\n <\/p>\n Wspomniany hacker porzuci\u0142 wiele narz\u0119dzi, w tym narz\u0119dzia zdalnego dost\u0119pu, takie jak LogMeIn i TeamViewer, ofensywne narz\u0119dzia bezpiecze\u0144stwa, takie jak Cobalt Strike, PowerSploit, Mimikatz i Impacket, a tak\u017ce doda\u0142 w\u0142asne konta backdoor i mechanizmy utrzymania dost\u0119pu.<\/p>\n Im sprawniejszy model post\u0119powania opracujesz, im szybciej i efektywniej zareagujesz na<\/strong><\/p>\n incydent, tym wi\u0119ksza szansa, \u017ce uda ci si\u0119 zabezpieczy\u0107 dost\u0119p do krytycznych<\/strong><\/p>\n element\u00f3w infrastruktury organizacji. Pami\u0119taj, \u017ce zawsze mo\u017cesz skorzysta\u0107 z naszego<\/strong><\/p>\n wsparcia 24\/7.<\/strong><\/p>\n <\/p>\n Po uzyskaniu wst\u0119pnego dost\u0119pu do \u015brodowiska, atakuj\u0105cy przeprowadzi\u0142 szereg dzia\u0142a\u0144 maj\u0105cych na celu<\/p>\n utrzymanie dost\u0119pu, zminimalizowanie artefakt\u00f3w kryminalistycznych oraz zwi\u0119kszenie poziomu dost\u0119pu do<\/p>\n system\u00f3w w \u015brodowisku.<\/p>\n <\/p>\n powershell ntdsutil.exe ‘ac i ntds’ ‘ifm’ ‘create full c:\\u0026apos;’ q q<\/em>\u00a0<\/em><\/p>\n <\/p>\n Uwa\u017cna obserwacja, konsolidacja zdobytych informacji, opracowanie na ich podstawie<\/strong><\/p>\n chemat\u00f3w dzia\u0142ania cyberprzest\u0119pcy pozwala reagowa\u0107 szybciej i skuteczniej. Dzi\u0119ki<\/strong><\/p>\n wsp\u00f3\u0142pracy z Cybergen masz mo\u017cliwo\u015b\u0107 nie tylko przygotowa\u0107 si\u0119 i chroni\u0107 przed takim<\/strong><\/p>\n atakiem, ale i nauczy\u0107 si\u0119 odpowiedniej reakcji, kiedy ju\u017c do niego dojdzie.<\/strong><\/p>\n <\/p>\n Zgodnie z aktywno\u015bci\u0105 w innych oddzielnych, ale podobnych atakach, napastnik stworzy\u0142 w systemie<\/p>\n u\u017cytkownika administracyjnego o nazwie “z” przy u\u017cyciu wbudowanych w system Windows polece\u0144 “net.exe”.<\/p>\n Konto to zosta\u0142o nast\u0119pnie dodane do lokalnej grupy Administrator\u00f3w. W niekt\u00f3rych przypadkach atakuj\u0105cy<\/p>\n zmienia\u0142 has\u0142a istniej\u0105cych lokalnych kont u\u017cytkownik\u00f3w na t\u0119 sam\u0105 warto\u015b\u0107, kt\u00f3ra zosta\u0142a przedstawiona<\/p>\n poni\u017cej. Aktor ten utworzy\u0142 konto “z” w poprzednich dzia\u0142aniach przed inwazj\u0105 Rosji na Ukrain\u0119.<\/p>\n <\/p>\n C:indows system32 net user z Lh199211* \/add<\/em>\u00a0<\/em><\/p>\n C:indows system32net localgroup administrators z \/add<\/em><\/p>\n <\/p>\n Konto to by\u0142o nast\u0119pnie wykorzystywane w niekt\u00f3rych przypadkach do uruchamiania dodatkowych narz\u0119dzi,<\/p>\n takich jak adfind czy secretsdump, w celu pr\u00f3by wyliczenia \u015brodowiska us\u0142ug katalogowych i uzyskania<\/p>\n dodatkowych danych uwierzytelniaj\u0105cych. Dodatkowo, zaobserwowano pr\u00f3by wyodr\u0119bnienia informacji z<\/p>\n rejestru, w tym bazy danych SAM, na zaatakowanych hostach Windows.<\/p>\n <\/p>\n reg save hklm system<\/em>\u00a0<\/em><\/p>\n reg save hklmsam sam<\/em>\u00a0<\/em><\/p>\n reg save HKLMsecurity sec<\/em><\/p>\n Na niekt\u00f3rych systemach zaobserwowano, \u017ce napastnik u\u017cy\u0142 MiniDump z Mimikatz do zrzucenia LSASS.<\/p>\n tasklist | findstr lsass<\/em>\u00a0<\/em><\/p>\n rundll32.exe C:\\system32 \\svcs.dll, MiniDump [LSASS_PID] C:\\system32 \\sass.dmp full<\/em><\/p>\n <\/p>\n Atakuj\u0105cy podj\u0105\u0142 r\u00f3wnie\u017c kroki w celu usuni\u0119cia dowod\u00f3w dzia\u0142a\u0144 wykonywanych na przej\u0119tych systemach<\/p>\n poprzez usuni\u0119cie wcze\u015bniej utworzonego lokalnego konta Administratora. Wykorzysta\u0142 r\u00f3wnie\u017c narz\u0119dzie<\/p>\n “wevtutil.exe” do identyfikacji i wyczyszczenia dziennik\u00f3w zdarze\u0144 generowanych w systemie.<\/p>\n <\/p>\n wevtutil.exe el<\/em>\u00a0<\/em><\/p>\n wevtutil.exe cl [LOGNAME]<\/em><\/p>\n <\/p>\n W wielu przypadkach atakuj\u0105cy usun\u0105\u0142 utworzone wcze\u015bniej konto lokalnego administratora.<\/p>\n net user z \/delete<\/em><\/p>\n <\/p>\n W celu przenoszenia plik\u00f3w pomi\u0119dzy systemami w \u015brodowisku, atakuj\u0105cy cz\u0119sto wykorzystywa\u0142 protok\u00f3\u0142 zdalnego pulpitu (RDP) oraz Citrix. Modyfikowa\u0142 on konfiguracje zapory ogniowej na ho\u015bcie, aby umo\u017cliwi\u0107 dost\u0119p RDP<\/p>\n do system\u00f3w.<\/p>\n <\/p>\n netsh advfirewall firewall set rule group=remote desktop new enable=Yes<\/em><\/p>\n <\/p>\n Podj\u0105\u0142 tak\u017ce instalacj\u0119 dodatkowych narz\u0119dzi zdalnego dost\u0119pu, takich jak TeamViewer i LogMeIn.<\/p>\n <\/p>\n C:\\Windows \\System32 \\msiexec.exe \/i C:\\Users \\MeIn.msi<\/em><\/p>\n <\/p>\n Atakuj\u0105cy cz\u0119sto wykorzystywa\u0142 techniki omijania logowania do systemu Windows, aby zachowa\u0107 mo\u017cliwo\u015b\u0107<\/p>\n dost\u0119pu do system\u00f3w w \u015brodowisku z podwy\u017cszonymi uprawnieniami. Cz\u0119sto polega\u0142 na PSEXESVC.exe, aby<\/p>\n zdalnie doda\u0107 nast\u0119puj\u0105ce warto\u015bci klucza rejestru:<\/p>\n <\/p>\n HKLM Microsoft Windows NT CurrentVersion Image File Execution Options -narrator.exe \/v Debugger \/t REG_SZ \/d C:\\system32 \\systemd.exe \/f<\/em>\u00a0<\/em><\/p>\n HKLM Microsoft NT CurrentVersion Image File Execution Options \/v Debugger \/t REG_SZ \/d C:indows system32cmd.exe \/f<\/em><\/p>\n <\/p>\n Dzi\u0119ki temu napastnik m\u00f3g\u0142 wykorzysta\u0107 funkcje dost\u0119pno\u015bci obecne na ekranie logowania do systemu Windows, aby wywo\u0142a\u0107 wiersz polece\u0144 na poziomie SYSTEM, co dawa\u0142o mu pe\u0142n\u0105 kontrol\u0119 nad systemem. W kilku<\/p>\n przypadkach mo\u017cna by\u0142o zaobserwowa\u0107, jak napastnik dodaje te klucze, ale nie wchodzi w dalsz\u0105 interakcj\u0119<\/p>\n z systemem. Prawdopodobnie przygotowywa\u0142 mechanizm uporczywo\u015bci, kt\u00f3ry mia\u0142 zosta\u0107 wykorzystany p\u00f3\u017aniej, gdy jego g\u0142\u00f3wny uprzywilejowany dost\u0119p zostanie odebrany.<\/p>\n <\/p>\n Podczas ca\u0142ego ataku pojawia\u0142y si\u0119 pr\u00f3by eksfiltracji informacji z otoczenia. Jedyna udana eksfiltracja danych,<\/p>\n jaka mia\u0142a miejsce podczas ataku, obejmowa\u0142a zawarto\u015b\u0107 folderu Box, kt\u00f3ry by\u0142 powi\u0105zany z przej\u0119tym kontem<\/p>\n pracownika oraz dane uwierzytelniaj\u0105ce pracownika z Active Directory. Dane Box uzyskane przez adwersarza w<\/p>\n tym przypadku nie by\u0142y wra\u017cliwe.<\/p>\n <\/p>\n W ci\u0105gu kilku tygodni po usuni\u0119ciu napastnika ze \u015brodowiska, podejmowa\u0142 on ci\u0105g\u0142e pr\u00f3by przywr\u00f3cenia dost\u0119pu. W wi\u0119kszo\u015bci przypadk\u00f3w atakuj\u0105cy celowa\u0142 w s\u0142ab\u0105 higien\u0119 rotacji hase\u0142 po obowi\u0105zkowych resetach hase\u0142<\/p>\n pracownik\u00f3w.<\/p>\n <\/p>\n Po udanym usuni\u0119ciu ze \u015brodowiska, adwersarz wielokrotnie pr\u00f3bowa\u0142 nawi\u0105za\u0107 komunikacj\u0119<\/p>\n mailow\u0105 z cz\u0142onkami zarz\u0105du organizacji, ale nie formu\u0142owa\u0142 \u017cadnych konkretnych gr\u00f3\u017ab ani \u017c\u0105da\u0144 wymuszenia. W jednym z e-maili za\u0142\u0105czy\u0142 zrzut ekranu pokazuj\u0105cy listing katalogowy danych Box,<\/p>\n kt\u00f3re zosta\u0142y wcze\u015bniej eksfiltrowane w spos\u00f3b opisany wy\u017cej. Poni\u017cej znajduje si\u0119 zrzut ekranu<\/p>\n jednego z otrzymanych e-maili. Adwersarz zredagowa\u0142 zrzut ekranu z list\u0105 katalog\u00f3w przed wys\u0142aniem wiadomo\u015bci e-mail.<\/p>\n Atakuj\u0105cy zrzuci\u0142 na systemy seri\u0119 payload\u00f3w, kt\u00f3re analizujemy poni\u017cej. Zach\u0119camy Ci\u0119<\/strong><\/p>\n do zapoznania si\u0119 z tym opracowaniem, poniewa\u017c pozwoli ci ono zyska\u0107 kolejn\u0105 porcj\u0119<\/strong><\/p>\n praktycznej wiedzy o aktualnych modelach dzia\u0142ania cyberprzest\u0119pcy.<\/strong><\/p>\n <\/p>\n \/bot\/cmd.php?botid=%.8x<\/em><\/p>\n \/bot\/gate.php?botid=%.8x<\/em><\/p>\n Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, jak Gecko) Chrome\/99.0.4844.51 Safari\/537.36 Edg\/99.0.1150.36 Trailer\/95.3.1132.33<\/em><\/p>\n <\/p>\n C:\\u2008cmd.exe.<\/em><\/p>\n Na podstawie analizy infrastruktury C2 zwi\u0105zanej z tym backdoorem oceniamy, \u017ce serwer C2 zosta\u0142 skonfigurowany specjalnie do tego ataku.<\/strong><\/p>\n Na podstawie uzyskanych artefakt\u00f3w, zidentyfikowanych taktyk, technik i procedur (TTP), wykorzystanej<\/p>\n infrastruktury oraz dok\u0142adnej analizy backdoora u\u017cytego w tym ataku, oceni\u0107 mo\u017cna umiarkowan\u0105 lub wysok\u0105<\/p>\n pewno\u015bci\u0105, \u017ce ten atak zosta\u0142 przeprowadzony przez przeciwnika, kt\u00f3ry zosta\u0142 wcze\u015bniej zidentyfikowany jako<\/p>\n broker dost\u0119pu wst\u0119pnego (IAB) z powi\u0105zaniami zar\u00f3wno z UNC2447, jak i Lapsus$. IAB zazwyczaj pr\u00f3buj\u0105<\/p>\n uzyska\u0107 uprzywilejowany dost\u0119p do korporacyjnych \u015brodowisk sieciowych, a nast\u0119pnie spieni\u0119\u017cy\u0107 ten dost\u0119p,<\/p>\n sprzedaj\u0105c go innym uczestnikom zagro\u017ce\u0144, kt\u00f3rzy mog\u0105 go wykorzysta\u0107 do r\u00f3\u017cnych cel\u00f3w. Zaobserwowa\u0107<\/p>\n mo\u017cna by\u0142o r\u00f3wnie\u017c wcze\u015bniejsze dzia\u0142ania \u0142\u0105cz\u0105ce tego atakuj\u0105cego z gangiem ransomware Yanluowang, w tym wykorzystanie strony Yanluowang data leak do umieszczania danych skradzionych ze skompromitowanych<\/p>\n organizacji.<\/p>\n <\/p>\n UNC2447 jest organizacj\u0105 o motywacji finansowej, powi\u0105zan\u0105 z Rosj\u0105, kt\u00f3ra wcze\u015bniej przeprowadza\u0142a ataki<\/p>\n ransomware i wykorzystywa\u0142a technik\u0119 znan\u0105 jako “podw\u00f3jne wymuszenie”, w kt\u00f3rej dane s\u0105 wymazywane przed wdro\u017ceniem ransomware w celu zmuszenia ofiar do zap\u0142acenia okupu. Wcze\u015bniejsze raporty wskazuj\u0105, \u017ce<\/p>\n UNC2447 by\u0142o obecne przy obs\u0142udze r\u00f3\u017cnych rodzaj\u00f3w ransomware, w tym FIVEHANDS, HELLOKITTY i innych.<\/p>\n <\/p>\n Opr\u00f3cz UNC2447, niekt\u00f3re z TTP odkryte w trakcie naszego dochodzenia pasuj\u0105 do Lapsus$. Lapsus$ to grupa,<\/p>\n kt\u00f3ra wed\u0142ug doniesie\u0144 by\u0142a odpowiedzialna za kilka poprzednich godnych uwagi narusze\u0144 \u015brodowisk<\/p>\n korporacyjnych. Na pocz\u0105tku tego roku odnotowano kilka aresztowa\u0144 cz\u0142onk\u00f3w Lapsus$. Lapsus$ zosta\u0142<\/p>\n zaobserwowany podczas w\u0142ama\u0144 do \u015brodowisk korporacyjnych i pr\u00f3b eksfiltracji poufnych informacji.<\/p>\n <\/p>\n Chocia\u017c nie zaobserwowali\u015bmy wdro\u017cenia oprogramowania ransomware w tym ataku, zastosowane metody TTP by\u0142y zgodne z “aktywno\u015bci\u0105 przedransomware’ow\u0105”, czyli dzia\u0142aniami powszechnie obserwowanymi przed<\/p>\n wdro\u017ceniem oprogramowania ransomware w \u015brodowiskach ofiar. Wiele z zaobserwowanych TTP jest zgodnych z dzia\u0142aniami zaobserwowanymi przez CTIR podczas poprzednich atak\u00f3w. Nasza analiza sugeruje r\u00f3wnie\u017c<\/p>\n ponowne wykorzystanie infrastruktury po stronie serwera zwi\u0105zanej z tymi poprzednimi dzia\u0142aniami. W<\/p>\n poprzednich dzia\u0142aniach nie zaobserwowali\u015bmy r\u00f3wnie\u017c wdra\u017cania oprogramowania ransomware w<\/p>\n \u015brodowiskach ofiar.<\/p>\n Na przyk\u0142adzie dzia\u0142a\u0144 zespo\u0142u ds. cyberbezpiecze\u0144stwa mo\u017cesz zobaczy\u0107, jak w praktyce wygl\u0105da odpieranie tak skonstruowanego ataku. Obawiasz si\u0119 podobnych incydent\u00f3w? Pad\u0142e\u015b ofiar\u0105 dzia\u0142aj\u0105cego analogicznie<\/p>\n adwersarza? Skontaktuj si\u0119 z naszymi ekspertami, kt\u00f3rzy pomog\u0105 ci zbudowa\u0107 odpowiednie zabezpieczenia.<\/p>\n Firma wdro\u017cy\u0142a reset has\u0142a w ca\u0142ej firmie natychmiast po uzyskaniu informacji o incydencie. CTIR zaobserwowa\u0142 wcze\u015bniej podobne TTP w licznych dochodzeniach od 2021 roku. Nasze ustalenia i kolejne zabezpieczenia<\/p>\n wynikaj\u0105ce z zaanga\u017cowania klient\u00f3w, pomog\u0142y nam spowolni\u0107 i powstrzyma\u0107 progresj\u0119 atakuj\u0105cego.<\/p>\n Stworzyli\u015bmy dwie sygnatury ClamAV, kt\u00f3re s\u0105 wymienione poni\u017cej.<\/p>\n <\/p>\n Ataki tego typu wyst\u0119puj\u0105 cz\u0119sto, a nadal sporo firm ma problem, aby sobie z nimi poradzi\u0107. Dlaczego? Brakuje wiedzy! Edukacja u\u017cytkownik\u00f3w jest najwa\u017cniejsza w udaremnianiu<\/strong><\/p>\n takich atak\u00f3w. Pracownicy powinni zna\u0107 legalne sposoby, w jakie personel wsparcia<\/strong><\/p>\n technicznego kontaktuje si\u0119 z u\u017cytkownikami i rozpoznawa\u0107 niepokoj\u0105ce sygna\u0142y. Warto<\/strong><\/p>\n zrobi\u0107 wiele w zakresie edukacji, tak aby pracownicy mogli zidentyfikowa\u0107 nieuczciwe<\/strong><\/p>\n pr\u00f3by uzyskania poufnych informacji.<\/strong><\/p>\n <\/p>\n Bior\u0105c pod uwag\u0119 wykazan\u0105 bieg\u0142o\u015b\u0107 aktora w stosowaniu szerokiego wachlarza technik w celu uzyskania<\/p>\n pierwszego dost\u0119pu, edukacja u\u017cytkownik\u00f3w jest r\u00f3wnie\u017c kluczow\u0105 cz\u0119\u015bci\u0105 przeciwdzia\u0142ania technikom<\/p>\n omijania MFA.<\/p>\n <\/p>\n Sprawd\u017a nasze podpowiedzi!<\/strong><\/p>\n <\/p>\n Przed zezwoleniem na po\u0142\u0105czenia VPN ze zdalnych punkt\u00f3w ko\u0144cowych nale\u017cy upewni\u0107 si\u0119, \u017ce sprawdzanie<\/p>\n postawy jest skonfigurowane w celu egzekwowania podstawowego zestawu kontroli bezpiecze\u0144stwa. Dzi\u0119ki temu mo\u017cna mie\u0107 pewno\u015b\u0107, \u017ce pod\u0142\u0105czane urz\u0105dzenia spe\u0142niaj\u0105 wymagania bezpiecze\u0144stwa obecne w \u015brodowisku. Mo\u017ce to r\u00f3wnie\u017c zapobiec pod\u0142\u0105czeniu do \u015brodowiska sieci korporacyjnej urz\u0105dze\u0144 nieuprawnionych, kt\u00f3re nie<\/p>\n zosta\u0142y wcze\u015bniej zatwierdzone.<\/p>\n <\/p>\n Segmentacja sieci to kolejna wa\u017cna kontrola bezpiecze\u0144stwa, kt\u00f3r\u0105 organizacje powinny stosowa\u0107, poniewa\u017c<\/p>\n zapewnia ona zwi\u0119kszon\u0105 ochron\u0119 aktyw\u00f3w o wysokiej warto\u015bci, a tak\u017ce umo\u017cliwia skuteczniejsze wykrywanie<\/p>\n i reagowanie w sytuacjach, gdy przeciwnik jest w stanie uzyska\u0107 pocz\u0105tkowy dost\u0119p do \u015brodowiska.<\/p>\n Scentralizowane zbieranie log\u00f3w mo\u017ce pom\u00f3c zminimalizowa\u0107 brak widoczno\u015bci, kt\u00f3ry wynika z tego, \u017ce<\/p>\n napastnik podejmuje aktywne kroki w celu usuni\u0119cia log\u00f3w z system\u00f3w. Zapewnienie, \u017ce dane z dziennik\u00f3w<\/p>\n generowane przez punkty ko\u0144cowe s\u0105 centralnie gromadzone i analizowane pod k\u0105tem anomalii lub jawnie<\/p>\n z\u0142o\u015bliwych zachowa\u0144 mo\u017ce dostarczy\u0107 wczesnych wskaz\u00f3wek, \u017ce atak jest w toku.<\/p>\n <\/p>\n W wielu przypadkach zaobserwowano, \u017ce podmioty odpowiedzialne za zagro\u017cenia obra\u0142y za cel infrastruktur\u0119<\/p>\n kopii zapasowych, pr\u00f3buj\u0105c w ten spos\u00f3b jeszcze bardziej ograniczy\u0107 zdolno\u015b\u0107 organizacji do odzyskania danych po ataku. Zapewnienie, \u017ce kopie zapasowe s\u0105 offline i okresowo testowane mo\u017ce pom\u00f3c w ograniczeniu tego<\/p>\n ryzyka i zapewni\u0107 zdolno\u015b\u0107 organizacji do skutecznego odzyskania danych po ataku.<\/p>\n <\/p>\n Audyt wykonywania wiersza polece\u0144 na punktach ko\u0144cowych mo\u017ce r\u00f3wnie\u017c zapewni\u0107 wi\u0119ksz\u0105 widoczno\u015b\u0107<\/p>\n dzia\u0142a\u0144 wykonywanych w systemach w \u015brodowisku i mo\u017ce by\u0107 wykorzystany do wykrycia podejrzanego<\/p>\n wykonywania wbudowanych narz\u0119dzi systemu Windows, co jest powszechnie obserwowane podczas w\u0142ama\u0144,<\/p>\n w kt\u00f3rych atakuj\u0105cy polegaj\u0105 na \u0142agodnych aplikacjach lub narz\u0119dziach ju\u017c obecnych w \u015brodowisku w celu<\/p>\n wyliczenia, eskalacji przywilej\u00f3w i dzia\u0142a\u0144 zwi\u0105zanych z przemieszczaniem si\u0119 na boki.<\/p>\n <\/p>\n Masz poczucie, \u017ce Twoje procedury nie chroni\u0105 organizacji tak, jakby\u015b tego oczekiwa\u0142?<\/strong><\/p>\n Chcesz lepiej przygotowa\u0107 pracownik\u00f3w na sytuacj\u0119 analogicznego ataku? A mo\u017ce<\/strong><\/p>\n szukasz narz\u0119dzi, kt\u00f3re pozwol\u0105 Twojemu zespo\u0142owi ds. cyberbezpiecze\u0144stwa lepiej<\/strong><\/p>\n identyfikowa\u0107 zagro\u017cenia i optymalizowa\u0107 priorytety dzia\u0142ania na wypadek ataku?<\/strong><\/p>\n Specjali\u015bci Cybergen s\u0105 do Twojej dyspozycji. Skontaktuj si\u0119 z nami i dowiedz si\u0119, jak<\/strong><\/p>\n skutecznie broni\u0107 si\u0119 przed podobnymi incydentami!<\/strong><\/p>\n Wszystkie opisane wcze\u015bniej TTP, kt\u00f3re zosta\u0142y zaobserwowane w tym ataku, zosta\u0142y wymienione poni\u017cej w<\/p>\n oparciu o faz\u0119 ataku, w kt\u00f3rej wyst\u0105pi\u0142y.<\/p>\n <\/p>\n <\/p>\n ATT&CK Technique : Phishing (T1566)<\/a><\/p>\n ATT&CK Technique : Valid Accounts (T1078)<\/a><\/p>\n <\/p>\n <\/p>\n ATT&CK Technique : System Services: Service Execution (T1569.002)<\/a><\/p>\n <\/p>\n <\/p>\n ATT&CK Technique : Create Account: Local Account (T1136.001)<\/a><\/p>\n ATT&CK Technique : Account Manipulation: Device Registration (T1098.005)<\/a><\/p>\n <\/p>\n <\/p>\n ATT&CK Technique : Event Triggered Execution: Image File Execution Options Injection<\/a><\/p>\n (T1546.012)<\/a><\/p>\n <\/p>\n <\/p>\n ATT&CK Technique : Indicator Removal on Host (T1070)<\/a><\/p>\n ATT&CK Technique : Indicator Removal on Host: Clear Windows Event Logs (T1070.001)<\/a><\/p>\n ATT&CK Technique : Masquerading: Match Legitimate Name or Location (T1036.005)<\/a><\/p>\n ATT&CK Technique : Impair Defenses: Disable or Modify System Firewall (T1562.004)<\/a><\/p>\n ATT&CK Technique : Modify Registry (T1112)<\/a><\/p>\n <\/p>\n <\/p>\n ATT&CK Technique : OS Credential Dumping: LSASS Memory (T1003.001)<\/a><\/p>\n ATT&CK Technique : OS Credential Dumping: Security Account Manager (T1003.002)<\/a><\/p>\n ATT&CK Technique : OS Credential Dumping: NTDS (T1003.003)<\/a><\/p>\n ATT&CK Technique : Multi-Factor Authentication Request Generation (T1621)<\/a><\/p>\n <\/p>\n <\/p>\n ATT&CK Technique : Remote Services (T1021)<\/a><\/p>\n <\/p>\n <\/p>\n ATT&CK Technique : Query Registry (T1012)<\/a><\/p>\n <\/p>\n <\/p>\n ATT&CK Technique : Application Layer Protocol: Web Protocols (T1071.001)<\/a><\/p>\n ATT&CK Technique : Remote Access Software (T1219)<\/a><\/p>\n ATT&CK Technique: Encrypted Channel: Asymmetric Cryptography (T1573.002)<\/a><\/p>\n ATT&CK Technique : Proxy: Multi-hop Proxy (T1090.003)<\/a><\/p>\n ATT&CK Technique : Exfiltration Over Alternative Protocol (T1048)<\/a><\/p>\n Zaobserwowano nast\u0119puj\u0105ce wska\u017aniki kompromitacji zwi\u0105zane z tym atakiem.<\/p>\n <\/p>\n <\/p>\n 184a2570d71eedc3c77b63fd9d2a066cd025d20ceef0f75d428c6f7e5c6965f3<\/p>\n 2fc5bf9edcfa19d48e235315e8f571638c99a1220be867e24f3965328fe94a03<\/p>\n 542c9da985633d027317e9a226ee70b4f0742dcbc59dfd2d4e59977bb870058d<\/p>\n 61176a5756c7b953bc31e5a53580d640629980a344aa5ff147a20fb7d770b610<\/p>\n 753952aed395ea845c52e3037f19738cfc9a415070515de277e1a1baeff20647<\/p>\n 8df89eef51cdf43b2a992ade6ad998b267ebb5e61305aeb765e4232e66eaf79a<\/p>\n 8e5733484982d0833abbd9c73a05a667ec2d9d005bbf517b1c8cd4b1daf57190<\/p>\n 99be6e7e31f0a1d7eebd1e45ac3b9398384c1f0fa594565137abb14dc28c8a7f<\/p>\n bb62138d173de997b36e9b07c20b2ca13ea15e9e6cd75ea0e8162e0d3ded83b7<\/p>\n eb3452c64970f805f1448b78cd3c05d851d758421896edd5dfbe68e08e783d18<\/p>\n <\/p>\n <\/p>\n 104.131.30[.]201<\/p>\n 108.191.224[.]47<\/p>\n 131.150.216[.]118<\/p>\n 134.209.88[.]140<\/p>\n 138.68.227[.]71<\/p>\n 139.177.192[.]145<\/p>\n 139.60.160[.]20<\/p>\n 139.60.161[.]99<\/p>\n 143.198.110[.]248<\/p>\n 143.198.131[.]210<\/p>\n 159.65.246[.]188<\/p>\n 161.35.137[.]163<\/p>\n 162.33.177[.]27<\/p>\n 162.33.178[.]244<\/p>\n 162.33.179[.]17<\/p>\n 165.227.219[.]211<\/p>\n 165.227.23[.]218<\/p>\n 165.232.154[.]73<\/p>\n 166.205.190[.]23<\/p>\n 167.99.160[.]91<\/p>\n 172.56.42[.]39<\/p>\n 172.58.220[.]52<\/p>\n 172.58.239[.]34<\/p>\n 174.205.239[.]164<\/p>\n 176.59.109[.]115<\/p>\n 178.128.171[.]206<\/p>\n 185.220.100[.]244<\/p>\n 185.220.101[.]10<\/p>\n 185.220.101[.]13<\/p>\n 185.220.101[.]15<\/p>\n 185.220.101[.]16<\/p>\n 185.220.101[.]2<\/p>\n 185.220.101[.]20<\/p>\n 185.220.101[.]34<\/p>\n 185.220.101[.]45<\/p>\n 185.220.101[.]6<\/p>\n 185.220.101[.]65<\/p>\n 185.220.101[.]73<\/p>\n 185.220.101[.]79<\/p>\n 185.220.102[.]242<\/p>\n 185.220.102[.]250<\/p>\n 192.241.133[.]130<\/p>\n 194.165.16[.]98<\/p>\n 195.149.87[.]136<\/p>\n 24.6.144[.]43<\/p>\n 45.145.67[.]170<\/p>\n 45.227.255[.]215<\/p>\n 45.32.141[.]138<\/p>\n 45.32.228[.]189<\/p>\n 45.32.228[.]190<\/p>\n 45.55.36[.]143<\/p>\n 45.61.136[.]207<\/p>\n 45.61.136[.]5<\/p>\n 45.61.136[.]83<\/p>\n 46.161.27[.]117<\/p>\n 5.165.200[.]7<\/p>\n 52.154.0[.]241<\/p>\n 64.227.0[.]177<\/p>\n 64.4.238[.]56<\/p>\n 65.188.102[.]43<\/p>\n 66.42.97[.]210<\/p>\n 67.171.114[.]251<\/p>\n 68.183.200[.]63<\/p>\n 68.46.232[.]60<\/p>\n 73.153.192[.]98<\/p>\n 74.119.194[.]203<\/p>\n 74.119.194[.]4<\/p>\n 76.22.236[.]142<\/p>\n 82.116.32[.]77<\/p>\n 87.251.67[.]41<\/p>\n 94.142.241[.]194<\/p>\n <\/p>\n <\/p>\n cisco-help[.]cf<\/p>\n cisco-helpdesk[.]cf<\/p>\n ciscovpn1[.]com<\/p>\n ciscovpn2[.]com<\/p>\n ciscovpn3[.]com<\/p>\n devcisco[.]com<\/p>\n devciscoprograms[.]com<\/p>\n helpzonecisco[.]com<\/p>\n kazaboldu[.]net<\/p>\n mycisco[.]cf<\/p>\n mycisco[.]gq<\/p>\n mycisco-helpdesk[.]ml<\/p>\n primecisco[.]com<\/p>\n pwresetcisco[.]com<\/p>\n <\/p>\n <\/p>\n costacancordia[@]protonmail[.]com<\/p>\n <\/p>\n\n
\n
Kiedy ju\u017c padniesz ofiar\u0105 cyberataku. Jak dzia\u0142a\u0107?<\/h2>\n
\n
\n
Jak dzia\u0142a cyberprzest\u0119pca w Twoim systemie?<\/h2>\n
\n
Zwr\u00f3\u0107 na to uwag\u0119: analiza backdoora, kt\u00f3ra mo\u017ce Ci si\u0119 przyda\u0107<\/h2>\n
\n
\n
\n
\n
\n
Atrybucja ataku<\/h2>\n
Jak reagowa\u0107? Model post\u0119powania i dalsze zalecenia<\/h2>\n
\n
\n
Poznaj szczeg\u00f3\u0142y. Mapowanie Mitre ATT&CK<\/h2>\n
Wst\u0119pny dost\u0119p<\/h3>\n
Wykonanie<\/h3>\n
Utrzymanie dost\u0119pu<\/h3>\n
Eskalacja uprawnie\u0144<\/h3>\n
Techniki unikania<\/h3>\n
Dost\u0119p do danych uwierzytelniaj\u0105cych<\/h3>\n
Ruchy boczne<\/h3>\n
Wykrywanie<\/h3>\n
Dowodzenie i kontrola<\/h3>\n
Exfiltracja<\/h3>\n
Wska\u017aniki kompromitacji<\/h2>\n
Hashe (SHA256)<\/h3>\n
Adresy IP<\/h3>\n
Domeny<\/h3>\n
Adresy e-mail<\/h3>\n