MERCURY IOCs

security IOC

23 и 25 июля 2022 года MERCURY был замечен в использовании эксплойтов против уязвимых экземпляров SysAid Server в качестве первоначального вектора доступа. Основываясь на наблюдениях за прошлыми кампаниями и уязвимостях, обнаруженных в среде целей, Microsoft считает, что использованные эксплойты, скорее всего, были связаны с Log4j 2. Угрожающий агент использовал эксплойты Log4j 2 против приложений VMware ранее в 2022 году и, вероятно, искал аналогичные уязвимые приложения, выходящие в Интернет.

MERCURY

Компания SysAid, предоставляющая инструменты управления ИТ, могла показаться привлекательной целью из-за своего присутствия в стране-мишени.
Успешная эксплуатация SysAid позволяет угрожающему субъекту перебросить и использовать веб-оболочки для выполнения нескольких команд, как показано в таблице ниже. Большинство команд связаны с разведкой, а одна закодированная PowerShell загружает инструмент агента для латерального перемещения и сохранения.
После того как MERCURY получает доступ к целевой организации, угрожающий агент устанавливает постоянство, используя несколько методов, включая:

  • Сброс веб-оболочки, обеспечивающей эффективный и постоянный доступ к взломанному устройству.
  • Добавление пользователя и повышение его привилегий до уровня локального администратора.
  • Добавление используемых инструментов в папки запуска и ключи реестра ASEP, что обеспечивает их сохранение после перезагрузки устройства.
  • Кража учетных данных

Агент использует нового пользователя локального администратора для подключения по протоколу удаленного рабочего стола (RDP). Во время этого сеанса угрожающий агент сбрасывает учетные данные, используя приложение с открытым исходным кодом Mimikatz. Также наблюдали, как MERCURY позже выполнял дополнительный сброс учетных данных на SQL-серверах для кражи других высокопривилегированных учетных записей, например учетных записей служб.
MERCURY использовал свою точку опоры для компрометации других устройств в целевых организациях, используя несколько методов, таких как:

Инструментарий управления Windows (WMI) для запуска команд на устройствах в организациях
Удаленные службы (с использованием инструмента RemCom) для запуска закодированных команд PowerShell в организациях.

Большинство запущенных команд предназначены для установки инструментов на цели или проведения разведки для поиска учетных записей администраторов домена.
На протяжении всей атаки угрожающий субъект использовал различные методы связи со своим командно-контрольным (C2) сервером, включая:

  • встроенные инструменты операционной системы, такие как PowerShell
  • Инструмент туннелирования под названием vpnui.exe, уникальная версия инструмента с открытым исходным кодом Ligolo
  • программное обеспечение для удаленного мониторинга и управления под названием eHorus

Indicators of Compromise

IPv4

  • 164.132.237.64
  • 91.121.240.104

Domains

  • sygateway.com

SHA256

  • 25325dc4b8dcf3711e628d08854e97c49cfb904c08f6129ed1d432c6bfff576b
  • 3137413d086b188cd25ad5c6906fbb396554f36b41d5cff5a2176c28dd29fb0a
  • 3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71
  • 3ca1778cd4c215f0f3bcfdd91186da116495f2d9c30ec22078eb4061ae4b5b1b
  • 416e937fb467b7092b9f038c1f1ea5ca831dd19ed478cca444a656b5d9440bb4
  • 87f317bbba0f50d033543e6ebab31665a74c206780798cef277781dfdd4c3f2f
  • b8206d45050df5f886afefa25f384bd517d5869ca37e08eba3500cda03bddfef
  • bbfee9ef90814bf41e499d9608647a29d7451183e7fe25f472c56db9133f7e40
  • d2e2a0033157ff02d3668ef5cc56cb68c5540b97a359818c67bd3e37691b38c6
  • e4ca146095414dbe44d9ba2d702fd30d27214af5a0378351109d5f91bb69cdb6
  • e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98
SEC-1275-1
Добавить комментарий