Набор инструментов для злоумышленников: Использование Sliver, PoshC2 и пакетных скриптов

Исследователи из DFIR Report обнаружили открытые каталоги, содержащие пакетные скрипты, исполняемые файлы вредоносных программ и различные инструменты для уклонения от защиты и командно-административных целей (C2).

PoshC2 и Sliver

Инфраструктура открытых каталогов была связана с двумя инструментами C2 с открытым исходным кодом PoshC2 и Sliver, а возможности злоумышленников включали широкий спектр пакетных скриптов и вредоносного ПО для компрометации систем Windows и Linux. В статье также подробно описаны функциональные возможности и назначение различных пакетных скриптов и команд, найденных в открытых каталогах. В набор инструментов входили сценарии для удаления резервных копий и теневых копий, стирания журналов событий и связанных с ними данных, управления инструментами удаленного мониторинга (RMM), такими как Atera, и нарушения работы систем путем остановки критически важных служб, таких как выход из пользовательских сессий и отключение инструментов безопасности. Наиболее обширная часть сценария содержит методы и возможности уклонения от защиты, такие как удаление служб, нацеленных на известных производителей антивирусов безопасности, и удаление конфигурации для защитного программного обеспечения. В отчете DFIR были обнаружены дополнительные инструменты, такие как Ngrok для прокси-сервисов, штамм вредоносного ПО SystemBC для разведки и последующей доставки вредоносного ПО, а также дополнительный одномоментный C2-фреймворк, связанный с Empire.

Последний раз активность злоумышленников наблюдалась в августе 2024 года, и в отчете DFIR сделан вывод, что эти серверы могут использоваться для вторжения вымогателей из-за сходства с аналогичными сообщениями о вымогательстве, такими как отключение или удаление теневых копий тома и команды sc. На момент подготовки отчета DFIR не обнаружила никакой информации о потенциальных целях или жертвах.

Indicators of Compromise

IPv4

• 185.234.216.64
• 94.198.53.143

IPv4 Port Combinations

• 94.198.51.247:4337
• 94.198.55.181:4337

MD5

• 0f1290d014dfd9e66bbbed96a828f7d1
• 1365640fc3c0e1824e348956172caed7
• 1393dab192ea2e2427889839a2d8fcf7
• 1a4e569f50695f53bd2368cc322a792d
• 3c1853831958efe2cc78ea82b4fbd565
• 444d7a27ac0327ccc0cf4e75a32025c9
• 4cf52cee2001cd10528f429fb6d9fd07
• 5336dffb778b1e2a0b982b337652b213
• 679d0dab79a98da8e20351f9f887e4f2
• 6b44d99b258c275ee7fcf230da177f3e
• 754e08c93369e5bfe24ca09b422affdd
• 7ee103ee99b95c07cc4a024e4d0fdc03
• 8c7c782df59edd61aabbc510d7747b11
• 91be6e6a8b4c2cb99db5b99d40e06978
• 97dc80d3844b01587d9fd6377b9ab0a7
• 9a66570b7e25035ff337fa6098f59823
• a5748047ebbe34d7821a2a040e4ca54e
• a8b335886e39adf23e6aa44a00bf82dc
• aae5ca4d0e7f000ba5f5250caaed0a05
• c84e1655f0ba917cc605018e32eba9f3
• c8903eb5763c670a15049d74d764188c
• cc35c94e64830ff143b54783c9869ecf
• d1e3216cf698a58832d947d95dc4f3f8
• e2eadf60d8f25cae9b29decab461177b
• f7a730acc86f1d6759249ccc579b1794
• fe00973fc12b3c6330abd9807dfb1d70

SHA1

• 0a99bd83472444e1bfdd53385fbf2e95bb6dbab9
• 1224f9667d7f1d3b7fba17f414d343912bec03db
• 2de53c24663149366fca22f354aff5c0f5b348f4
• 300c89889bbb5ef61f470174a6fcad73c4516779
• 373609c0f30ee313fd0cc6c4e572452483d87244
• 3cf331934996ec4338418b847b52d78d8a29d224
• 4a8a4e6069ec4f6a4f24614eb885c57484bc9b79
• 55126d8215b771aa2f62f16e6aad9e8832824a4c
• 591379f5d7d256e83de05207fd872acfa8e8aa5e
• 66ac6cf4bb4247daf1d09d9d4bc4e357cc39c6c8
• 7dee2a38cc2ba81cc373b50f42c8946601d177cb
• 833a461f6d479d164b453cc9f5f51259d991b1b7
• 8441e7b6b6b9f24439e71c6b031262bc76d73c28
• 86f599090aa2c7c1df65dccccf00e1818e72246a
• 885fc76ba1261a1dcce87f183a2385b2b99afd96
• 93b717a562f2cc3fdf2355bd9d2670ba2391cc60
• 9442647283e52c91c2e836b19749f184936cf6c2
• 990f68cca516192d73ef443f51ed80813e324b0b
• a65d7caf354161798d2458cfee9e4e988f0e94af
• b8fc0194f6ed56e4a57c16756e506369c74c4078
• bd65b5306914187f14bfffa995e7e68a8d036d0c
• cecc54143cc375af1b9aed0021643b179574e592
• d08878d7dffe082a908a4bb6387b4739c1a9d3eb
• d2f5c890e3e1dd9b42e695586c06408b31d4ec7a
• dc14cffa48dd95157fd381cb75bae1773d510c54
• fe1fb1da6435a6d6283e993569d3fc82a67d7ac8

SHA256

• 01ec91a3145332174eef9239f7767adaa5e3dff3a436dfb7d2f978f88ea6cd93
• 039bf780ae46875945344af489a590c5b7a36d458372a3173b55b3dc3559dfff
• 03b3c37300bf9dcfaa4594e86841b70263324dda305484fb268b27deb09f936c
• 08d40a402b3754e52e4e86003bffddfdccbceefd335f53591f4cf715f8d30321
• 09f91e90a1604a633c00d6039581f552603421356cb1edb62e085b32ff01b94e
• 0e626e01d3ae7840aa486468f40138284ccbd70dfe336a6b5d4008d01eb79988
• 1aecadf489a6dd7a3a6e5dfda9425673a9d04d38a5cb6b0b8f961536c11237ed
• 1b60097bf1ccb15a952e5bcc3522cf5c162da68c381a76abc2d5985659e4d386
• 2bcd5702a7565952c44075ac6fb946c7780526640d1264f692c7664c02c68465
• 3691dbb1834db4eb8ef4c195d26779b87db267a56f2ebca6c146a53fb8adb9c0
• 38283b775552da8981452941ea74191aa0d203edd3f61fb2dee7b0aea3514955
• 4106ce787cf73d7f8215311a241f0e42426301a5a2078da9e3349afade2df684
• 512beb7dfa9fdbc8be7fbf59c7bec7911296f9e36c8a3d3b95e7aef4a88bf09c
• 5b43428452a867ad61554d763c8f19ca4cd8af8c31194304785e9e45f9258441
• 63229da1bed0c0eafc4ed087651af3eec521e7fbd098300f7d862582d03a675d
• 6cff22a3ea7c054075b9aded5933587bf997623183539e10e426d103d604f046
• 7e623f907b4a4c924cd8af3bf4b8df45b6f904723cbb26ec87cfe7792388afe1
• 87ab1707a553557b10fa721a32f053fbb40d11de6f692e96e067d03316fe530b
• 91d9c73b804aae60057aa93f4296d39ec32a01fe8201f9b73f979d9f9e4aea8b
• a668a98e57c03decf6ea76bb32f67f3f077ef2277e57f4117d44f4342977fddf
• b0056bef817408449470d3fa43e13cbc89cabdae795b1dc8cbe9905c5946f530
• beb5022543a1e12e1f8f5ffe5d520e5fc9cf623aea512cfb43ea2f8c2897420c
• cc4960939a41d6a281ddad307b107e16214f4aeda261c9b5037f26e60dc7bba2
• d97e2e5e6b23ee0f1efa7326d7ac3240a0df9770bf7c2992eec890f073c9cada
• ea7dec8fa52d2300350367691ae2fbea13dbd5bf80d6b43b05eedf197529aa77
• fdc105ae79dff83f31777c6e047272c5b372251a3af49e20370e7ee9d1c70763