В отчете DFIR приводится подробный отчет о сложном вторжении, которое началось с фишинговой кампании с использованием PrometheusTDS для распространения вредоносного ПО IcedID в августе 2023 года.
Вредоносная программа IcedID сохраняла устойчивость, связывалась с серверами C2 и сбрасывала маяк Cobalt Strike, который использовался для бокового перемещения, утечки данных и развертывания выкупного ПО. Угрожающий субъект также использовал набор инструментов, таких как Rclone, Netscan, Nbtscan, AnyDesk, Seatbelt, Sharefinder и AdFind. Кульминацией вторжения стало развертывание вымогательского ПО Dagon Locker через 29 дней.
Угрожающие лица использовали различные техники для обфускации JavaScript-файла и шелл-кода Cobalt Strike, обхода обнаружения, сохранения персистентности и сетевого перечисления. Действия угроз включали в себя злоупотребление функциями бокового перемещения, такими как PsExec и Remote Desktop Protocol (RDP), эксфильтрацию файлов, сброс и эксфильтрацию журналов событий Windows Security, а также использование команд PowerShell, выполняемых с маяка Cobalt Strike.
Кроме того, угрожающий субъект использовал несколько методов эксфильтрации, включая использование Rclone и AWS CLI, чтобы извлечь данные из взломанной инфраструктуры. Развертывание вымогательского ПО Dagon Locker было облегчено за счет использования пользовательского сценария PowerShell, AWScollector и модуля locker, а также специальной команды PowerShell, запущенной с контроллера домена для развертывания вымогательского ПО на различных системах. В результате этого инцидента все системы были поражены вымогательским ПО Dagon Locker.
Indicators of Compromise
IPv4
- 23.159.160.88
- 45.15.161.97
- 51.89.133.3
- 87.251.67.168
Domains
- ewacootili.com
- fraktomaam.com
- magiraptoy.com
- moashraya.com
- oopscokir.com
- patricammote.com
- restohalto.site
- rpgmagglader.com
- ultrascihictur.com
- winupdate.us.to
MD5
- 0d8a41ec847391807acbd55cbd69338b
- 628685be0f42072d2b5150d4809e63fc
- 7e9ef45d19332c22f1f3a316035dcb1b
- a144aa7a0b98de3974c547e3a09f4fb2
- b3495023a3a664850e1e5e174c4b1b08
- bff696bb76ea1db900c694a9b57a954b
SHA1
- 34c9702c66faadb4ce90980315b666be8ce35a13
- 38cd9f715584463b4fdecfbac421d24077e90243
- 437fe3b6fdc837b9ee47d74eb1956def2350ed7e
- 4e0222fd381d878650c9ebeb1bcbbfdfc34cabc5
- 5066e67f22bc342971b8958113696e6c838f6c58
- ca10c09416a16416e510406a323bb97b0b0703ef
SHA256
- 332afc80371187881ef9a6f80e5c244b44af746b20342b8722f7b56b61604953
- 65edf9bc2c15ef125ff58ac597125b040c487640860d84eea93b9ef6b5bb8ca6
- 839cf7905dc3337bebe7f8ba127961e6cd40c52ec3a1e09084c9c1ccd202418e
- 9da84133ed36960523e3c332189eca71ca42d847e2e79b78d182da8da4546830
- a0191a300263167506b9b5d99575c4049a778d1a8ded71dcb8072e87f5f0bbcf
- f6e5dbff14ef272ce07743887a16decbee2607f512ff2a9045415c8e0c05dbb4