Аналитический центр AhnLab Security (ASEC) обнаружил новый случай атаки, в котором злоумышленник скомпрометировал ERP-сервер корейской компании и установил VPN-сервер. Злоумышленник начал атаку, атакуя службу MS-SQL, а затем установил веб-оболочку, чтобы поддерживать контроль над компрометированной системой. Затем был установлен SoftEther VPN, чтобы использовать зараженную систему в качестве VPN-сервера.
Прокси- и VPN-сервисы широко используются пользователями для повышения конфиденциальности и безопасности и обхода региональных ограничений. Однако злоумышленники также используют эти технологии для своих атак. Они могут использовать различные инструменты Proxy и VPN, включая SoftEther VPN, для скрытия своего местоположения и получения доступа к целевым системам.
В ситуации, описанной в статье, злоумышленник использовал VPN-сервер SoftEther для доступа к внутренней сети через зараженную систему. Это позволило им имитировать легитимную активность и получить несанкционированный доступ к целевым данным.
Подобные атаки подтверждают, что злоумышленники активно используют прокси- и VPN-сервисы в своих атаках. Это может быть вызвано возможностью скрыть свою идентификацию и местоположение, а также использовать компрометированные системы для перенаправления трафика и скрытия своих следов.
Indicators of Compromise
IPv4 Port Combinations
- 45.76.53.110:443
URLs
- http://116.202.251.4/vmtoolsd.exe
- http://167.99.75.170/dns003/hamcore.se2
- http://167.99.75.170/dns003/sqlwritel.exe
- http://167.99.75.170/tun02.bat
- http://167.99.75.170/tun02/vpn_server.config
- http://167.99.75.170/vmtoolsd.exe
- http://45.77.44.127/vmtoolsd.exe
- https://bashupload.com/-nsU2/1.txt
MD5
- aac76af38bfd374e83aef1326a9ea8ad
- ef340716a83879736e486f331d84a7c6
