Vice Society - это хакерская группа, занимающаяся вторжением, эксфильтрацией и вымогательством, которая впервые появилась летом 2021 года. Участники Vice Society не используют уникальный вариант ransomware. Вместо этого они использовали версии Hello Kitty/Five Hands и Zeppelin ransomware, но могут использовать и другие варианты в будущем.
Vice Society, вероятно, получают первоначальный доступ к сети через скомпрометированные учетные данные, используя приложения, выходящие в интернет [T1190]. Перед развертыванием программ-вымогателей они тратят время на изучение сети, выявление возможностей для расширения доступа и эксфильтрацию данных [TA0010] для двойного вымогательства - тактики, при которой агенты угрожают публично обнародовать конфиденциальные данные, если жертва не заплатит выкуп. Субъекты Vice Society были замечены за использованием различных инструментов, включая SystemBC, PowerShell Empire и Cobalt Strike, для перемещения в боковом направлении. Они также использовали методы "жизни за счет земли", нацеленные на легитимную службу Windows Management Instrumentation (WMI) и засорение общего контента.
Vice Society были замечены в использовании уязвимости PrintNightmare (CVE-2021-1675 и CVE-2021-34527 ) для повышения привилегий. Для поддержания постоянства преступники использовали запланированные задачи, создавали недокументированные ключи реестра для автозапуска и направляли легитимные службы на свои собственные вредоносные библиотеки динамических связей (DLL) с помощью тактики, известной как боковая загрузка DLL. Субъекты Vice Society пытаются избежать обнаружения, маскируя свои вредоносные программы и инструменты под легитимные файлы, используя внедрение в процессы и, вероятно, применяя методы уклонения для поражения автоматизированного динамического анализа. Vice Society были замечены в повышении привилегий, затем получении доступа к учетным записям администраторов домена и запуске скриптов для изменения паролей сетевых учетных записей жертв, чтобы предотвратить их исправление.
Indicators of Compromise
IPv4
- 194.34.246.90
- 198.252.98.184
- 5.161.136.176
- 5.255.99.59
URLs
- http://vsociethok6sbprvevl4dlwbqrzyhxcxaqpvcqt5belwvsuxaxsutyad.onion
MD5
- fb91e471cfa246beb9618e1689f1ae1d
SHA1
- 3122ea585623531df2e860e7d0df0f25cce39b21
- 41dc0ba220f30c70aea019de214eccd650bc6f37
- a0ee0761602470e24bcea5f403e8d1e8bfa29832
- c9c2b6a5b930392b98f132f5395d54947391cb79
Emails
- v-society.official@onionmail.org
- ViceSociety@onionmail.org