Аналитический центр AhnLab SEcurity (ASEC) недавно обнаружил новую активность угрозы Trigona ransomware, устанавливающей вымогательское ПО Mimic. Как и в прошлых случаях, недавно обнаруженная атака нацелена на серверы MS-SQL и отличается тем, что в процессе установки вредоносного ПО используется утилита Bulk Copy Program (BCP) на серверах MS-SQL.
ASEC впервые обнаружил случай атаки с использованием BCP для установки Mimic в начале января 2024 года. В середине января 2024 года были выявлены атаки аналогичного типа, в которых вместо Mimic устанавливалась Trigona. Адрес электронной почты, использованный в записке с выкупом Mimic, не был найден в других случаях атак, но в записке с выкупом Trigona, обнаруженной позже, был указан адрес электронной почты, который использовался с начала 2023 года.
Соответственно, атака, обнаруженная в середине января 2024 года, предположительно была осуществлена предыдущим участником атаки Trigona, который также считается тем же злоумышленником, который стоит за атакой Mimic ransomware, обнаруженной в начале января 2024 года. Основанием для такого предположения служит тот факт, что в обоих случаях атакам подвергались плохо управляемые серверы MS-SQL, для установки вредоносного ПО использовался BCP, а различные строки и пути, используемые в атаках, были одинаковыми. Кроме того, в каждом случае использовался один и тот же штамм вредоносного ПО.
Indicators of Compromise
MD5
- 3e26e778a4d28003686596f988942646
- 6d44f8f3c1608e5958b40f9c6d7b6718
- a02157550bc9b491fd03cad394ccdfe7
- a24bac9071fb6e07e13c52f65a093fce
- a6e2722cff3abb214dc1437647964c57
- ac34ba84a5054cd701efad5dd14645c9
- b3c8d81d6f8d19e5c07e1ca7932ed5bf
- c28b33f7365f9dc72cc291d13458f334
- d6b4b1b6b0ec1799f57142798c5daf5b