Новости Grixba и VSS Copying Tool: новейшее оружие в киберпространстве, созданное группой Play

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Теперь хакеры могут обойти систему безопасности и похищать файлы из теневых копий.


kkt2wbjfepxd8s243b430g3hl1diy8yc.jpg


Группа вымогателей Play разработала два специальных инструмента – Grixba и VSS Copying Tool – для повышения эффективности своих кибератак. Об этом Для просмотра ссылки Войди или Зарегистрируйся специалисты Symantec , которые обнаружили и проанализировали образцы.

Новые инструменты позволяют злоумышленникам:

  • перечислять пользователей и компьютеры в скомпрометированных сетях;
  • собирать информацию о системе безопасности, резервном копировании и ПО для удаленного администрирования;
  • копировать файлы из службы теневого копирования томов (VSS) для обхода заблокированных файлов.

Grixba — это инструмент сетевого сканирования и кражи информации, используемый для перечисления пользователей и компьютеров в домене. Он также поддерживает режим «сканирования», в котором используются WMI, WinRM, удаленный реестр и удаленные службы для определения того, какое ПО работает на сетевых устройствах.

При выполнении функции сканирования Grixba проверяет наличие антивирусных программ и средств безопасности, наборов EDR-решений, инструментов резервного копирования и инструментов удаленного администрирования. Кроме того, сканер проверяет наличие обычных офисных приложений и DirectX, что потенциально позволяет определить тип сканируемого компьютера.

Инструмент сохраняет все собранные данные в CSV-файлах, сжимает их в ZIP-архив, а затем эксфильтрирует их на C2-сервер злоумышленников, предоставляя важную информацию для того, чтобы хакеры могли спланировать следующие шаги атаки.

VSS Copying Tool – второй инструмент группы Play, который позволяет киберпресутпникам взаимодействовать со службой теневого копирования томов (VSS) через вызовы API с использованием связанной .NET-библиотеки Для просмотра ссылки Войди или Зарегистрируйся .

Служба теневого копирования томов — это функция Windows, которая позволяет пользователям создавать моментальные снимки системы и резервные копии своих данных в определенные моменты времени и восстанавливать их в случае потери данных или повреждения системы. VSS Copying Tool позволяет программам-вымогателям Play похищать файлы из существующих теневых копий томов, даже если эти файлы используются приложениями.

Оба инструмента были написаны с использованием инструмента разработки Costura .NET, который может создавать автономные исполняемые файлы, не требующие зависимостей, что упрощает развертывание вредоносного ПО на скомпрометированных системах.

Напомним, что группировка Play взяла на себя ответственность за Для просмотра ссылки Войди или Зарегистрируйся , произошедшую в первой половине февраля. Эта атака серьёзно нарушила работу городских IT-систем. Местным властям даже пришлось объявить в городе чрезвычайное положение.

Кроме того, в январе хакеры Play проникли в сервис электронной почты Rackspace, используя эксплойт нулевого дня, и получили доступ к Для просмотра ссылки Войди или Зарегистрируйся клиентов компании.
 
Источник новости
www.securitylab.ru