CISA сообщает о недавнем взломе, в котором субъекты APT использовали инструментарий с открытым исходным кодом под названием Impacket для закрепления и дальнейшей компрометации сети, а также использовали пользовательский инструмент эксфильтрации данных CovalentStealer для кражи конфиденциальных данных жертвы.
CISA обнаружила активность, указывающую на использование двух инструментов Impacket: wmiexec.py и smbexec.py. Эти инструменты используют протокол Windows Management Instrumentation (WMI) и протокол Server Message Block (SMB) соответственно для создания полуинтерактивной командной оболочки на целевом устройстве. Через командную оболочку пользователь Impacket с учетными данными может выполнять команды на удаленном устройстве, используя протоколы управления Windows, необходимые для поддержки корпоративной сети.
Кибер-актеры APT использовали существующие, скомпрометированные учетные данные Impacket для доступа к учетной записи службы с более высокими привилегиями, используемой многофункциональными устройствами организации. Угрожающие лица сначала использовали учетную запись службы для удаленного доступа к серверу Microsoft Exchange организации через Outlook Web Access (OWA) с нескольких внешних IP-адресов; вскоре после этого они назначили учетной записи службы роль Application Impersonation.
Для утечки конфиденциальных файлов злоумышленники использовали пользовательский инструмент эксфильтрации CovalentStealer.
CovalentStealer предназначен для определения общих файловых ресурсов в системе, категоризации файлов и загрузки файлов на удаленный сервер. CovalentStealer включает две конфигурации, которые специально нацелены на документы жертвы, используя заранее определенные пути к файлам и учетные данные пользователя. CovalentStealer хранит собранные файлы в облачной папке Microsoft OneDrive, включает файл конфигурации для указания типов файлов для сбора в определенное время и использует 256-битный ключ AES для шифрования.
Indicators of Compromise
SHA256
- 09605981a072c604e6ef9ad2dd7d2a78b48b07ee3339589bfcf0a466a9190904
- 0b01f392fa030be1ddd549fb79cf280d2a2c745578a56fedd4cb5e9438ae72cb
- 0b7d15968d44710b3e7f153c04b5038d03900a6685643bc8efe688c4d5a5deab
- 1352dbb093a337eb8db9d0135adbe0542bb7e7163616e4f8962919becab171da
- 157a0ffd18e05bfd90a4ec108e5458cbde01015e3407b3964732c9d4ceb71656
- 25afc6741abfa27f5b50844331772466182ebe3f74bc84f911314d1a68c62cb2
- 30191b3badf3cdbc65d0ffeb68e0f26cef10a41037351b0f562ab52fce7432cc
- 3585c3136686d7d48e53c21be61bb2908d131cf81b826acf578b67bb9d8e9350
- 517faa4a0666ec68842f256f08d987935b6ce9ef64e33f027e084e8f45b9366d
- 52765525103f5b3b07d0882cc8ee4bb8e279ad5d451e1ed07cae3b98565cce29
- 5ba0d0bfda372c1f6aa382a70f4ab8427ec998b680510e208fdf878cfda9afe3
- 603e75db59285734cfb5a469e984c4e359e660ccb7836ff9c209aec36931bc2b
- 6a0cd866c849e62f9ccc26575d8794c2e0b14722387742b965d4358e1e0e8b3c
- 84164e1e8074c2565d3cd178babd93694ce54811641a77ffdc8d1084dd468afb
- 91a8b31c126a021f5c156742016acdcca7d83eac4b583bae5d4fd0a85a96813b
- b03ac5eaf2131060ee381e5e46ebc705d8d617a90cc61fa4918174545b4fbaa6
- bfa7adeda4597b70bf74a9f2032df2f87e07f2dbb46e85cb7c091b83161d6b0a
- d221ca9c519ae04c7724baca8d36c2ce77454e0f9aa0f119ecfa9246973a92f8
- da267c72f58ec487761de99d0f3bcfd87771a36afc06716053960633a74139df
- e03a2c8a6e81cf62ba7401c598ea1d4635b08bbf9c2fec080b536dde29e6392f
- fae38156e9ce12368c846836b87861f4f12e14698cb65f14545205fa56d8c496