Киберугрозы используют похожие методы для атак на конечные точки

security

Специалисты по кибербезопасности утверждают, что злоумышленники изменяют свою тактику действий, однако без существенных изменений в инфраструктуре и инструментах, угрозы не будут менять свои методы. Аналитики из компании Huntress обнаружили схожие характеристики в двух уязвимостях, проанализировав инциденты и следив за индикаторами компрометации.

Описание

Они выявили сходство в TTP угроз, начиная с эксплуатации различных уязвимостей, таких как размещение Mesh Agent RMM и файла d3d11.dll.

В ходе инцидентов с CrushFTP, аналитики Huntress встретились с эксплуатацией уязвимости CrushFTP для получения первоначального доступа на конечные точки. Проведенный анализ журналов приложений показал соединения с IP-адресом 2.58.56[.]16, через которые передавались файлы d3d11.dll и mesch.exe. Обнаружение и помещение DLL в карантин Windows Defender помогло предотвратить запуск угрожающего агента, что свидетельствует об эффективности мер безопасности.

В отличие от инцидентов с CrushFTP, где идентифицированная DLL была помещена в карантин, инциденты с CentreStack показали использование PowerShell-команд в кодировке base64 для загрузки файлов на конечные точки. Угрожающие агенты воспользовались уязвимостью Gladinet CentreStack & Triofox для получения доступа к web-странице /portal/loginpage.aspx. В журналах веб-серверов IIS было отмечено соединение с IP-адресом 2.58.56[.]16. В обоих случаях, действия аналитиков и установленные меры безопасности помогли обнаружить и предотвратить угрозы, приведя к быстрой изоляции конечных точек и минимизации потенциального ущерба.

Индикаторы компрометации

IPv4

  • 196.251.85.31
  • 2.58.56.16

Domains

  • rtb.mftadsrvr.com
Комментарии: 0