Sophos X-Ops наблюдала широкий спектр угроз, доставляемых на серверы. Наиболее распространенными полезными нагрузками являются маячки Cobalt Strike, программы-вымогатели, файловые бэкдоры PowerShell, майнеры и веб-шеллы.
В сентябре и начале октября мы стали свидетелями нескольких попыток неизвестных злоумышленников использовать уязвимости в устаревших и неподдерживаемых версиях программного обеспечения ColdFusion Server компании Adobe для получения доступа к серверам Windows, на которых они работали, и перехода к развертыванию программ-вымогателей. Ни одна из этих атак не увенчалась успехом, но они предоставили телеметрию, которая позволила нам связать их с одним или несколькими участниками и получить полезную нагрузку, которую они пытались развернуть.
Полученные файлы показали, что злоумышленники пытались развернуть программу-вымогатель, созданную на основе утечки исходного кода семейства программ-вымогателей LockBit 3.0. Похожая программа-вымогатель использовалась в кампании по эксплуатации WS-FTP. В этом отчете я расскажу о телеметрии, наблюдаемой в сети одного из клиентов Sophos, а также об используемых инструментах и методах. К счастью, все попытки были блокированы поведенческими детектами конечных точек Sophos, которые улавливали подозрительные инициации процессов "live off the land binary" (LoLBIN), исходящие с целевых серверов.
Indicators of Compromise
SHA1
- 26c8a6b4b816e18e611942111e401f339dc98395
- 385320ddd8254a49669bf3c31b28fde77601f47c
- 3a0cd87b1b6a112aa564169185f83248e23383c5
- 48c62e2b8e99ba7ebdaa50da7b84de014122f8eb
- 6be4f82c2f5dc46ebfa74a77fb550448fcac12d5
- 759b9d1ea843596ab32ad401ffa1c9d09e735b56
- a543ea56ecc63ec35e925e79d7c51558557b3ed1
- a77fd996290cb37b7368f0b54774d8977c97fb7c
- b2d5c047e60b2a183d30ac92b1dc73ac5ba58bbe
- c2e896570e194ee4003f9e696a97c04b64a6e14e