Исследователи из Trend Micro Managed Detection and Response (MDR) обнаружили попытку вторжения группы вымогателей Play (Storm-0882), которая использовала для скрытной атаки вредоносные инструменты SYSTEMBC и GRIXBA, а также такие легитимные инструменты, как PsExec и Remote Desktop Protocol (RDP).
Play (Storm-0882) APT
Злоумышленники получали доступ к конечной точке жертвы, используя действительные учетные данные для входа в систему, и изменяли настройки RDP с помощью модификаций в реестре Windows. Кроме того, они внедрили инструмент GT_NET.exe для разведки сети. Злоумышленники попытались сделать дамп памяти запущенного процесса LSASS, но это действие было заблокировано.
Storm-0882, представляет собой группу по развертыванию вымогательского ПО, которая, судя по имеющейся информации, относится к семейству вымогательского ПО, идентифицируемому как Play и появившемуся в августе 2022 года. Группа в основном получает доступ к целям, используя системы, выходящие в Интернет, в том числе используя скомпрометированные учетные данные для доступа к открытым системам RDP и Exchange-серверов.
После получения первоначального доступа Storm-0882 обычно инициирует обратный туннель с помощью утилиты командной строки Secure Shell (SSH) plink для создания учетной записи локального администратора. Storm-0882 использует множество распространенных инструментов вторжения после эксплойта, включая Cobalt Strike Beacon и SystemBC, а также широко применяет сценарии PowerShell. Storm-0882 также собирает и удаляет данные до развертывания вымогательского ПО для дальнейших возможностей вымогательства.
Indicators of Compromise
SHA1
- 2b7e28442bc7ef5e7b37afde5423b29e897a59ca
- 3890272563cd044761a9a5c0ab049a2117b38884
- a0ee0761602470e24bcea5f403e8d1e8bfa29832