Специалисты по кибербезопасности утверждают, что злоумышленники изменяют свою тактику действий, однако без существенных изменений в инфраструктуре и инструментах, угрозы не будут менять свои методы. Аналитики из компании Huntress обнаружили схожие характеристики в двух уязвимостях, проанализировав инциденты и следив за индикаторами компрометации.
Описание
Они выявили сходство в TTP угроз, начиная с эксплуатации различных уязвимостей, таких как размещение Mesh Agent RMM и файла d3d11.dll.
В ходе инцидентов с CrushFTP, аналитики Huntress встретились с эксплуатацией уязвимости CrushFTP для получения первоначального доступа на конечные точки. Проведенный анализ журналов приложений показал соединения с IP-адресом 2.58.56[.]16, через которые передавались файлы d3d11.dll и mesch.exe. Обнаружение и помещение DLL в карантин Windows Defender помогло предотвратить запуск угрожающего агента, что свидетельствует об эффективности мер безопасности.
В отличие от инцидентов с CrushFTP, где идентифицированная DLL была помещена в карантин, инциденты с CentreStack показали использование PowerShell-команд в кодировке base64 для загрузки файлов на конечные точки. Угрожающие агенты воспользовались уязвимостью Gladinet CentreStack & Triofox для получения доступа к web-странице /portal/loginpage.aspx. В журналах веб-серверов IIS было отмечено соединение с IP-адресом 2.58.56[.]16. В обоих случаях, действия аналитиков и установленные меры безопасности помогли обнаружить и предотвратить угрозы, приведя к быстрой изоляции конечных точек и минимизации потенциального ущерба.
Индикаторы компрометации
IPv4
- 196.251.85.31
- 2.58.56.16
Domains
- rtb.mftadsrvr.com