В сотрудничестве с компанией QGroup GmbH, SentinelLabs недавно наблюдала первые действия угрозы, направленные на телекоммуникационный сектор.
Начальная фаза атаки включает проникновение на серверы Microsoft Exchange, выходящие в Интернет, для развертывания веб-оболочек, используемых для выполнения команд. После того как атакующие закрепились, они проводят различные мероприятия по разведке, краже учетных данных, боковому перемещению и эксфильтрации данных.
Центральное место в этой новой кампании занимает развертывание специального вредоносного ПО для кражи учетных данных. Вредоносная программа реализовала ряд модификаций Mimikatz на инструментах с закрытым исходным кодом.
Indicators of Compromise
SHA1
- 1c405ba0dd99d9333173a8b44a98c6d029db8178
- 508408edda49359247edc7008762079c5ba725d9
- 814f980877649bc67107d9e27e36fba677cad4e3
- 97a7f1a36294e5525310f121e1b98e364a22e64d
- df4bd177b40dd66f3efb8d6ea39459648ffd5c0e
- f54a41145b732d47d4a2b0a1c6e811ddcba48558