Исследователи «Касперского» обнаружили новую группу угроз, известную как «Crypt Ghouls», которая атакует российские предприятия и государственные учреждения в различных отраслях, включая добычу полезных ископаемых, энергетику, финансы и розничную торговлю.
Crypt Ghouls APT
Группа распространяет такие программы-вымогатели, как LockBit 3.0 и Babuk, а в ее инструментарий входят такие утилиты, как Mimikatz, XenAllPasswordPro, AnyDesk и другие. Первоначальный доступ часто достигался с помощью учетных данных подрядчика для подключения к внутренним системам жертвы через VPN, а последующее поддержание доступа осуществлялось с помощью таких утилит, как NSSM и Localtonet. Crypt Ghouls продемонстрировали целый ряд методов сбора учетных данных, доступа к контроллерам домена, сетевой разведки и бокового перемещения. Они использовали такие инструменты, как MiniDump Tool, для извлечения учетных данных из памяти, копировали учетные данные, сохраненные в браузере, и использовали сценарии PowerShell для разведки. Для доступа к контроллеру домена они подключались через WMI, изменяли задачи планировщика и сбрасывали файл NTDS.dit.
Для навигации по сети использовались такие инструменты, как PingCastle, SoftPerfect Network Scanner, модуль WmiExec.py Impacket и PAExec. Они также занимались боковой загрузкой DLL с помощью легитимного приложения для управления установкой Windows и вредоносного загрузчика. Атаки группы на выкуп были очень сложными: LockBit 3.0 был настроен на шифрование определенных файлов и каталогов, отключение Windows Defender и удаление журналов событий, а Babuk нацеливался на виртуальные машины на серверах ESXi.
Crypt Ghouls оставляли записки с выкупом и контактными ссылками через службу сообщений Session и использовали для удаленных подключений IP-адреса из подсети Surfshark VPN и сети хостинг-провайдера VDSina. Их деятельность имеет сходство с другими группами, такими как MorLock, BlackJack, Twelve и Shedding Zmiy, что указывает на возможное сотрудничество или совместное использование ресурсов этими злоумышленниками.
Indicators of Compromise
IPv4
- 169.150.197.10
- 169.150.197.18
- 185.231.155.124
- 45.11.181.152
- 91.142.73.178
- 91.142.74.87
- 95.142.47.157
SHA256
- 01fba22c3e6cf11805afe4ba2f7c303813c83486e07b2b418bf1b3fabfd2544e
- 3edb6fb033cc00c016520e2590e2888e393ad5ed725e853eea3bc86cee3b28b8
- 56682344aa1dc0a0a5b0d26bd3a8dfe8ceb8772d6cd9e3f8cbd78ca78fe3c2ab
- 5e1e3bf6999126ae4aa52146280fdb913912632e8bac4f54e98c58821a307d32
- 92804faaab2175dc501d73e814663058c78c0a042675a8937266357bcfb96c50
- a27d900b1f94cb9e970c5d3b2dcf6686b02fb722eda30c85acc05ba55fdabfbc
- a54519b7530039b9fba9a4143bf549b67048f441bbebf9f8d5cff1e539752189
- dec147d7628d4e3479bc0ff31413621fb4b1b64a618469a9402a42816650f92b
