Новости Ранее неизвестное вымогательское ПО нацелено на поставщиков вооружения для Украины

NewsMaker

I'm just a script
Премиум
13,891
20
8 Ноя 2022

Злоумышленники используют 3 способа заражения компаний из Восточной Европы.​


ptibtvhkmad8e3q03mykk97m3svbe86r.jpg


В середине октября исследователи Microsoft Threat Intelligence Center (MSTIC) обнаружили ранее неизвестную программу-вымогатель под названием Prestige, которая использовалась для атак на организации Для просмотра ссылки Войди или Зарегистрируйся .

Программа-вымогатель Prestige Для просмотра ссылки Войди или Зарегистрируйся в виде атак, которые происходили с интервалом в 1 час друг от друга для всех жертв. Примечательной особенностью этой кампании является то, что злоумышленники не пытаются внедрить программы-вымогатели в сети украинских предприятий.

MSTIC приписала кампанию Для просмотра ссылки Войди или Зарегистрируйся Sandworm. Исследователи наблюдали за инфраструктурой C&C-серверов, основанной на динамических DNS-доменах, маскирующихся под украинских поставщиков телекоммуникационных услуг. Microsoft приписала атаки Sandworm, основываясь на криминалистических артефактах, совпадениях жертв, Для просмотра ссылки Войди или Зарегистрируйся и инфраструктуре группы.

По словам MSTIC, кампания Prestige нацелена на организации, поставляющие гуманитарную или военную помощь Украине. Другими словами, под угрозой множество компаний в Восточной Европе.

Злоумышленники использовали 3 способа развертывания программы-вымогателя Prestige:

  1. Полезная нагрузка программы-вымогателя копируется в общую папку «ADMIN$» удаленной системы, а инструмент разведки «Impacket» используется для удаленного создания запланированной задачи Windows для выполнения полезной нагрузки.
  2. Полезная нагрузка Prestige копируется в общую папку «ADMIN$», а «Impacket» используется для удаленного вызова закодированной PowerShell-команды для выполнения полезной нагрузки.
  3. Полезная нагрузка Prestige копируется на контроллер домена Active Directory и развертывается в системе с использованием объекта групповой политики домена по умолчанию.


content-img(741).png

С августа 2022 года исследователи из Recorded Future наблюдали развитие C&C-инфраструктуры Sandworm, которая перешла на динамические DNS-домены, маскирующиеся под украинских поставщиков телекоммуникационных услуг. По словам специалистов, отслеживающих деятельность группировки, Для просмотра ссылки Войди или Зарегистрируйся
 
Источник новости
https://www.securitylab.ru/news/534746.php

Похожие темы