Ransomware и wiper, подписанные украденными сертификатами

security IOC

17 июля 2022 года албанские новостные агентства сообщили о масштабной кибератаке, которая затронула электронные сервисы правительства Албании. Через несколько недель стало известно, что кибератаки были частью скоординированных усилий, направленных на разрушение компьютерных систем страны. 10 сентября 2022 года албанские местные новости сообщили о второй волне кибератак на албанские системы TIMS, ADAM и MEMEX - две последние системы, критически важные для правоохранительных органов - по сообщениям, с использованием того же типа атаки и теми же субъектами.

Примерно в то же время Kalsersky Lab обнаружили образцы вредоносных программ-вымогателей и вредоносных программ-чистильщиков, похожих на те, что использовались в первой волне, но с несколькими интересными изменениями, которые, вероятно, позволили обойти средства контроля безопасности и повысить скорость атаки. Главные из этих изменений - встраивание драйвера необработанного диска, обеспечивающего прямой доступ к жесткому диску внутри самой вредоносной программы, измененные метаданные и использование для подписи вредоносной программы сертификата подписи кода Nvidia.

Хотя Kalsersky Lab не смогли определить начальную точку входа угрожающего агента в анализируемом вторжении, через несколько дней после действий по стиранию данных второй волны Kalsersky заметили подземные разговоры о том, что кто-то получил доступ к учетной записи AnyDesk в другой неправительственной, но важной албанской организации, и предложения персоязычным хакерам использовать ее для развертывания вредоносного ПО с выкупом или wiper. Это может увеличить вероятность того, что начальная точка входа для волны 2 находится через легитимное программное обеспечение удаленного доступа, такое как AnyDesk, модификации wiper волны 2 включали автоматическое выполнение только при установке драйвера - потенциальная необходимость срочности из-за ограниченного времени/окна доступа. Злоумышленники и поставщик доступа, похоже, принадлежали к разным группам атак и говорили на разных языках.

Indicators of Compromise

MD5

  • 64cb923be15ae255b82e7ebcf24ccfc5
  • 7b71764236f244ae971742ee1bc6b098
  • 96eabcc77a6734ea8587599685fbf1b4
  • bbe983dba3bf319621b447618548b740
  • c7be7e90f63dada6cd541fa84880874b

Certificates serial numbers

  • 14 78 1B C8 62 E8 DC 50 3A 55 93 46 F5 DC C5 18
  • 01 FD D0 93 F6 50 87 F4 E9 AE 11 ED 65 0D 83 E8
SEC-1275-1
Добавить комментарий