C.A.S (Cyber Anarchy Squad) APT IOCs

security IOC

C.A.S (Cyber Anarchy Squad) - хактивистская группа, которая с 2022 года атакует организации в России и Беларуси. Их цель - не только украсть данные, но и нанести максимальный ущерб, в том числе репутационный. Для этого атаки группы используют уязвимости в публичных сервисах и широко применяют бесплатные инструменты.

C.A.S (Cyber Anarchy Squad) APT

Недавнее расследование позволило нам обнаружить новую активность группы, проанализировать этапы ее атак и изучить используемые инструменты и вредоносное ПО. Kaspersky Lab также обнаружили связи между C.A.S и другими хактивистскими группами, такими как Ukrainian Cyber Alliance и DARKSTAR.

Как и многие другие хактивистские группы, C.A.S использует Telegram в качестве платформы для распространения информации о своих жертвах. Мы обнаружили канал, где они публикуют новости и сообщения о своих атаках и идеологии, а также чат, где они обсуждают свою деятельность.

Согласно анализу, C.A.S получает первоначальный доступ к целевым системам, используя технику Exploit Public-Facing Application. Они компрометируют такие сервисы, как Jira, Confluence и Microsoft SQL Server, используя уязвимости. Однако, похоже, они не используют фишинговые письма в качестве первоначального вектора атаки. Вместо этого они, скорее всего, используют уязвимые сетевые ресурсы или получают доступ к системам, взломанным третьими лицами.

Для дальнейшего продвижения по инфраструктуре злоумышленники используют трояны удаленного доступа (RAT) с открытым исходным кодом, такие как Revenge RAT и Spark RAT, которые редко встречаются среди других хактивистских атак. Эти утилиты позволяют им удаленно управлять зараженными системами и выполнять различные команды.

В некоторых случаях мы наблюдали использование взломанной службы MS SQL для выполнения команд в cmd, о чем свидетельствует процесс cmd.exe, запущенный как дочерний процесс sqlservr.exe.

Злоумышленники также используют PowerShell для выполнения скриптов, загружают обратную оболочку Meterpreter для фреймворка Metasploit с помощью инструмента cURL и оставляют следы работы Revenge RAT через PowerShell.

Для обеспечения устойчивости злоумышленники создают учетные записи пользователей на взломанных узлах с помощью утилиты net.exe. Примечательно, что учетная запись администратора получает пароль, совпадающий с именем группы.

Также было обнаружено, что образцы Revenge RAT сохраняются в системе через ключи реестра, добавленные в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Indicators of Compromise

IPv4

  • 185.117.75.3
  • 194.36.188.94

MD5

  • 1fcd4f83bf6414d79d5f29ad1e795b3d
  • 23b873bb66dc09e91127e20825b6cbc7
  • 48210ca2408dc76815ad1b7c01c1a21a
  • 6cbc93b041165d59ea5ded0c5f377171
  • 8c70377554b291d4a231cf113398c00d
  • bcec17275114c6a87d8b7110aecec5cc
  • fc3a8eabd07a221b478a4ddd77ddce43
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий