Главная страница » Индикаторы компрометации
0
2 дня
Индикаторы компрометации

Киберпреступники взломали корпоративную сеть через уязвимость в Confluence с последующим развертыванием ransomware

ransomware

В конце июня 2024 года злоумышленники успешно провели сложную атаку на корпоративную сеть, начав с эксплуатации уязвимости в сервере Atlassian Confluence и завершив развертыванием ransomware ELPACO-team - варианта известного Mimic ransomware. Эксперты The DFIR Report детально восстановили ход атаки, выявив ключевые этапы компрометации.

Описание

Атака началась с эксплуатации критической уязвимости CVE-2023-22527, позволяющей выполнять произвольный код на интернет-ориентированном сервере Confluence. Первоначально злоумышленники провели разведывательную операцию, выполнив команду whoami, а через 20 минут загрузили Meterpreter-пейлоад с IP-адреса 91.191.209[.]46, установив таким образом первый канал управления.

После получения первоначального доступа атакующие развернули комплекс мер по закреплению в системе. Они установили AnyDesk для постоянного удаленного управления, создали локальную учетную запись администратора с именем "noname" и паролем "Slepoy_123", а также повысили привилегии до уровня SYSTEM, используя технику Named Pipe Impersonation (RPCSS Variant). Для сбора учетных данных применялись такие инструменты как Mimikatz, ProcessHacker и Impacket Secretsdump.

Получив доступ к учетной записи доменного администратора, злоумышленники начали активное перемещение по корпоративной сети. С помощью SoftPerfect NetScan они провели сканирование сети, пытались, хотя и безуспешно, эксплуатировать уязвимость Zerologon (CVE-2020-1472) на контроллерах домена. Для перемещения между системами использовались WMIExec и RDP-подключения, при этом атакующие создавали SMB-шары для распространения своих инструментов.

Кульминацией атаки стало развертывание ransomware ELPACO-team через 62 часа после первоначального взлома. Злоумышленники вручную, через RDP-подключения, запустили вредоносный файл ELPACO-team.exe на сервере резервного копирования и файловом сервере. После шифрования файлы получали расширение .ELPACO-team, а в системах оставался файл с инструкциями Decryption_INFO.txt.

Этот инцидент демонстрирует несколько важных тенденций. Уязвимость Confluence CVE-2023-22527 продолжает оставаться популярным вектором атак. AnyDesk и RDP активно используются злоумышленниками для удаленного управления. ELPACO-team показывает значительное сходство с Mimic ransomware, что указывает на возможную связь между этими угрозами.

Индикаторы компрометации

IPv4

  • 45.227.254.124
  • 91.191.209.46

MD5

  • 09ba9214257381231934a0115d7af8be
  • 0a50081a6cd37aea0945c91de91c5d97
  • 127fe6658efb06e77b674fdb9db7d6d5
  • 1b1e95ea1d26da394688f4c8883721d1
  • 30a6cd2673ef5b2cb18f142780a5b4a3
  • 35893c46af1af2089498b062379c039f
  • 3e872ca0ac6261b85dd9524a8f3a83db
  • 3f7d6e5a541aad1a52beb823f1576f6a
  • 44c031e3c922e711f7e3784f6d90b10f
  • 47e001253af2003985f15282cdc90a1c
  • 53e2e8ce119e2561bb6065b1a42f1085
  • 54daad58cce5003bee58b28a4f465f49
  • 597de376b1f80c06d501415dd973dcec
  • 6fbf6350c52d2f2e6f61530d05148562
  • 77ef2cad0de20482a6bb6cfcdc5d94d1
  • 91625f7f5d590534949ebe08cc728380
  • 92fd70f19771360bd820091025107382
  • 96a1e516cef1ff4791d8785886d56cce
  • 96ec8798bba011d5be952e0e6398795d
  • 96fc8c743f6ba38a69bf866b7fa9e4d1
  • 9a875116622272a7f0fb32ce6cc12040
  • a75de4c4fd88d94642ad30310c641252
  • be8f00c11010e4e6078d383026833c07
  • c9bc430ea5bd0289cf3a6acdb69efac4
  • e703ffdf065094f30b8b9c107a64736b
  • e7aa5608c81ba4fcd8d166501b90fc06
  • ee8d08b380bf3d3fe9961a0ab428549f
  • f635d1c916a7c56678f08d1d998e7ce4

SHA1

  • 02c264691764f3c7ab9492dcb443e52b0ee66229
  • 1217a97009eb86249e6c8010d3024f050f62c40d
  • 162b08b0b11827cc024e6b2eed5887ec86339baa
  • 1e0ec6994400413c7899cd5c59bdbd6397dea7b5
  • 238424b26da6e53738aa28a46ba007a195ad608c
  • 241f9d2495b0b437813d8cf31fe4e4de8be203ec
  • 32f9259285bb3425b67633d73bc74b93859f40a7
  • 35ff55bcf493e1b936dc6e978a981ee2a75543a1
  • 4790bde7c2d233c07165caaab0f5b7d69a60c950
  • 5bef86615c8bd715c794505127a6d5245bba9206
  • 5c714fda5b78726541301672a44eaf886728f88c
  • 5f13d476e9fabdf2ac6f805a98d62f3027c473c2
  • 629c9649ced38fd815124221b80c9d9c59a85e74
  • 69519da0edeb9ad6ed739982a05b638d3fee20fb
  • 6ee6664df9bfb47d97090492b6cde68bf056a42a
  • 7314f85595ab4496abe02c48b476f57cb6b96804
  • 755309c6d9fa4cd13b6c867cde01cc1e0d415d00
  • 79d3fbde198ffa575904998b92285e3815a860c2
  • 8900b1ef864eb390bf99b801d78a0b8dbd5d90b6
  • 89e3247d2940d78ab13f060761f0c79afa806f39
  • 9e22f5e394ffd8df94b1601fe73f2ae14df731ba
  • af7c73c47c62d70c546b62c8e1cc707841ec10e3
  • b8551ef02737bc7801d2077d7d8aca168eb79b0d
  • bf1b0ab5a2c49bde5b5dbe828df3e69af5d724c2
  • d01f72d0a4609be76a83ac76a760485d29be854b
  • dda90a452cc1540657606e5d40d304b1e58da751
  • f46fa1fbab35f0d697ea896e81c4504de0487e57
  • f7e11585ee968ad256be5a2e4c43a73c07034759

SHA256

  • 085ad59bb8d32981ea590a7884da55d4b0a3f5e89a9632530c0c8ef2f379e471
  • 14f0c4ce32821a7d25ea5e016ea26067d6615e3336c3baa854ea37a290a462a8
  • 15348e1401fe18b83e30a7e7f6b4de40b9981a0e133c22958324a89c188f2c49
  • 22436fe549d791caa3007b567d28d51c8c75869519019c40564af4de53490fa2
  • 28042dd4a92a0033b8f1d419b9e989c5b8e32d1d2d881f5c8251d58ce35b9063
  • 2c656109db6d2059c41a50e623ceb5e656ff764c44b1e1dbf41131f0206f8238
  • 36d3b20e9380aaaac9151280b4ac3e047a0871efbb158f04344946ff67176a48
  • 3c300726a6cdd8a39230f0775ea726c2d42838ac7ff53bfdd7c58d28df4182d5
  • 3e92ca5b4069eba89d9fcfd7885924282fdf6ca26d0ff8d0502973d9c9bc1fef
  • 4f4864a1d5f19a3c5552d80483526f3413497835549dce8c61fef116b666fa09
  • 51f2d5fba3d02cba1c99cf2dfd9968b98d0047f501b54b9531e7ad2719706e47
  • 5748bfb17e662fb6d197886a69df47f1071052c3381eb1c609a2bc5dba8c2992
  • 6492e765829974c4a636bff0e305261b18eea92fcb1df6fff69890366efc972d
  • 6606d759667fbdfaa46241db7ffb4839d2c47b88a20120446f41e916cad77d0b
  • 6b93e585479a3c5b9a8edbe2b11a8371cb028e8b196acb1c16a425e8d8530cd7
  • 6e5a6629b5ec2eea276fe93553d31f3d23885b214db0a4c2c9201f65180d767f
  • 90cdcf54bbaeb9c5c4afc9b74b48b13e293746ee8858c033fc9d365fd4074018
  • 9875d1947b8d18974c938721c273d9322fc9af36be96e0ec696daac2929bb802
  • 9b1df0db16b3b73fe3549856fb4a74414faecffabee0d001865e05b93dda14ec
  • 9e18fcc595d4e158ac7aa9250e45145445b31018b35d6ed91239da2b931b5c37
  • a710ed9e008326b981ff0fadb1c75d89deca2b52451d4677a8fd808b4ac0649b
  • abbe5619e1d7a08f807b57d0949a7f97108a546a415778f25ed35f31ee2cd2f5
  • c3405d9c9d593d75d773c0615254e69d0362954384058ee970a3ec0944519c37
  • c7440e621d1c5e90ca4963a4b3b52d27bac05a44248ca88dd51510489d1171bb
  • d5746d9f3284dadf60180f7f7332a08895c609520e0c2327918f259d182cbaf6
  • e5f985b5a1f4f351616516553295e1224a02219825c35e3c64b55ecdc8a0d699
  • f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446
  • ff547a7803cd989f9f09a22323ec3f7079266b9a20a07f2c6f353547318ff172
Комментарии: 0
Похожие записи
1
1 день
Индикаторы компрометации

Киберпреступники атакуют MSP через уязвимости в системе удаленного управления

ransomware
27 мая 2025 года специалисты Sophos MDR сообщили о расследовании целевой атаки на провайдера управляемых услуг (MSP), в ходе которой злоумышленники использовали уязвимости в платформе удаленного управления SimpleHelp.
0
10 дней
Индикаторы компрометации

Новый ransomware VanHelsing атакует предприятия по всему миру

ransomware
FortiGuard Labs обнаружил новую вредоносную программу-шифровальщик VanHelsing, которая атакует организации в США, Европе и Австралии. Группировка шифрует файлы жертв, требует выкуп и угрожает утечкой данных, если требования не будут выполнены.
0
15 дней
Индикаторы компрометации

Количество новых образцов ransomware выросло в апреле 2025 года

ransomware
Компания AhnLab опубликовала отчет об угрозах за апрель 2025 года, посвященный тенденциям в сфере ransomware-атак. Согласно данным, количество новых вредоносных образцов увеличилось по сравнению с мартом
0
19 дней
Индикаторы компрометации

DOGE BIG BALLS Ransomware: как киберпреступники используют имя Эдварда Користайна и геолокацию для атак

ransomware
Компания Cyble провела исследование атаки программы вымогательного ПО DOGE BIG BALLS Ransomware, выявив ложные связи с Эдвардом Користайном.