- 12,454
- 18
- 8 Ноя 2022
Cobalt Strike и Pypykatz открывают путь к полному контролю над сетью.
Недавно устранённая уязвимость в гипервизорах VMware ESXi активно используется несколькими группировками, занимающимися вымогательством, для получения повышенных прав и развёртывания вредоносного ПО, шифрующего файлы.
Эти атаки используют уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 6.8), позволяющую обойти аутентификацию при интеграции с Active Directory и получить административный доступ к хосту.
Компания VMware, принадлежащая Broadcom, в июньском консультативном отчёте отметила, что злоумышленник с достаточными правами в Active Directory может получить полный доступ к ESXi-хосту, используя настройки AD для управления пользователями. Это возможно путём создания новой группы AD под названием «ESX Admins» и добавления в неё пользователя или переименования любой группы в домене в «ESX Admins».
Microsoft в своём анализе, опубликованном 29 июля, Для просмотра ссылки Войдиили Зарегистрируйся что группы вымогателей, такие как Storm-0506, Storm-1175, Octo Tempest и Manatee Tempest, используют эту технику для развёртывания Akira и Black Basta. Исследователи подчеркнули, что ESXi-гипервизоры, подключенные к домену Active Directory, по умолчанию предоставляют полные административные права любому члену доменной группы с именем «ESX Admins». При этом ESXi не проверяет, существует ли такая группа на самом деле.
В одной из атак Storm-0506 на неназванную инженерную фирму в Северной Америке, злоумышленники использовали уязвимость для повышения прав на ESXi-гипервизорах после первоначального доступа, полученного с помощью QakBot и другой уязвимости в драйвере Windows CLFS ( Для просмотра ссылки Войдиили Зарегистрируйся оценка CVSS: 7.8).
Затем злоумышленники развернули Cobalt Strike и Pypykatz (Python-версию Mimikatz) для кражи учётных данных доменного администратора и дальнейшего распространения по сети. Для сохранения присутствия хакеры использовали имплант SystemBC и получили доступ к ESXi для развёртывания Black Basta.
Также зафиксированы попытки взлома RDP-подключений для бокового перемещения и дальнейшего развёртывания Cobalt Strike и SystemBC. Злоумышленники пытались изменить настройки Microsoft Defender Antivirus для избежания обнаружения.
Компания Mandiant, принадлежащая Google, Для просмотра ссылки Войдиили Зарегистрируйся что финансово мотивированная группировка UNC4393 использует начальный доступ через бэкдор на C/C++ под кодовым названием ZLoader для развёртывания Black Basta, отходя от использования QakBot и DarkGate.
Mandiant отмечает, что UNC4393 демонстрирует готовность к сотрудничеству с несколькими дистрибутивными кластерами для достижения своих целей. Последняя волна активности ZLoader стартовала в начале этого года и в основном распространяется через вредоносную рекламу, что заметно отличается от предыдущего метода, нацеленного на фишинг.
В ходе атак используется начальный доступ для развёртывания Cobalt Strike Beacon и других инструментов для разведки. Для бокового перемещения используются RDP и SMB, а для сохранения присутствия — SystemBC.
Загрузчик ZLoader, который вернулся в арсенал злоумышленников в прошлом году, активно развивается. Новые вариации распространяются через бэкдор на PowerShell под названием PowerDash.
За последние годы вымогатели активно используют новые методы для максимизации воздействия и обхода обнаружения, всё чаще нацеливаясь на ESXi-гипервизоры и пользуясь новыми уязвимостями в интернет-ориентированных серверах.
Например, вымогатель Qilin, изначально разработанный на языке Go, Для просмотра ссылки Войдиили Зарегистрируйся для повышения безопасности. Недавние атаки с использованием Qilin нацелены на слабые места в Fortinet и Veeam Backup & Replication для начального доступа. Злоумышленники используют инструмент Killer Ultra для отключения программ EDR и очистки журналов событий Windows, чтобы скрыть следы компрометации.
Организациям рекомендуется устанавливать последние обновления ПО, соблюдать гигиену учётных данных, применять двухфакторную аутентификацию и защищать критически важные ресурсы с помощью соответствующих процедур мониторинга и планов восстановления.
Недавно устранённая уязвимость в гипервизорах VMware ESXi активно используется несколькими группировками, занимающимися вымогательством, для получения повышенных прав и развёртывания вредоносного ПО, шифрующего файлы.
Эти атаки используют уязвимость Для просмотра ссылки Войди
Компания VMware, принадлежащая Broadcom, в июньском консультативном отчёте отметила, что злоумышленник с достаточными правами в Active Directory может получить полный доступ к ESXi-хосту, используя настройки AD для управления пользователями. Это возможно путём создания новой группы AD под названием «ESX Admins» и добавления в неё пользователя или переименования любой группы в домене в «ESX Admins».
Microsoft в своём анализе, опубликованном 29 июля, Для просмотра ссылки Войди
В одной из атак Storm-0506 на неназванную инженерную фирму в Северной Америке, злоумышленники использовали уязвимость для повышения прав на ESXi-гипервизорах после первоначального доступа, полученного с помощью QakBot и другой уязвимости в драйвере Windows CLFS ( Для просмотра ссылки Войди
Затем злоумышленники развернули Cobalt Strike и Pypykatz (Python-версию Mimikatz) для кражи учётных данных доменного администратора и дальнейшего распространения по сети. Для сохранения присутствия хакеры использовали имплант SystemBC и получили доступ к ESXi для развёртывания Black Basta.
Также зафиксированы попытки взлома RDP-подключений для бокового перемещения и дальнейшего развёртывания Cobalt Strike и SystemBC. Злоумышленники пытались изменить настройки Microsoft Defender Antivirus для избежания обнаружения.
Компания Mandiant, принадлежащая Google, Для просмотра ссылки Войди
Mandiant отмечает, что UNC4393 демонстрирует готовность к сотрудничеству с несколькими дистрибутивными кластерами для достижения своих целей. Последняя волна активности ZLoader стартовала в начале этого года и в основном распространяется через вредоносную рекламу, что заметно отличается от предыдущего метода, нацеленного на фишинг.
В ходе атак используется начальный доступ для развёртывания Cobalt Strike Beacon и других инструментов для разведки. Для бокового перемещения используются RDP и SMB, а для сохранения присутствия — SystemBC.
Загрузчик ZLoader, который вернулся в арсенал злоумышленников в прошлом году, активно развивается. Новые вариации распространяются через бэкдор на PowerShell под названием PowerDash.
За последние годы вымогатели активно используют новые методы для максимизации воздействия и обхода обнаружения, всё чаще нацеливаясь на ESXi-гипервизоры и пользуясь новыми уязвимостями в интернет-ориентированных серверах.
Например, вымогатель Qilin, изначально разработанный на языке Go, Для просмотра ссылки Войди
Организациям рекомендуется устанавливать последние обновления ПО, соблюдать гигиену учётных данных, применять двухфакторную аутентификацию и защищать критически важные ресурсы с помощью соответствующих процедур мониторинга и планов восстановления.
- Источник новости
- www.securitylab.ru
