Nitrogen Campaign IOCs - II

Исследователи DFIR Report проанализировали киберинцидент, в ходе которого пользователь неосознанно загрузил вредоносную версию Advanced IP Scanner через мошеннический сайт, продвигаемый с помощью рекламы Google.

Nitrogen Campaign

Скомпрометированный установщик пришел в виде ZIP-файла, который после извлечения и выполнения запускал легитимный двоичный файл Python, который загружал модифицированную DLL для развертывания вредоносной программы Nitrogen. Злоумышленник быстро перешел к выполнению Sliver-маяка, который был спрятан в системе жертвы, и использовал такие техники обфускации, как Py-Fuscate, чтобы избежать обнаружения.

В течение восьми минут злоумышленники начали практическую работу с клавиатурой, используя стандартные утилиты Windows для обнаружения системы. Они установили дополнительные маячки Sliver и добились стойкости, настроив запланированные задачи и изменив ключи реестра. Примерно через час после начала атаки злоумышленник внедрил маяки Cobalt Strike и использовал такие инструменты, как SharpHound и PowerSploit, для сбора подробной информации об инфраструктуре Active Directory жертвы. Атакующий повысил свои привилегии путем сброса учетных данных из LSASS и перешел на другие серверы с помощью wmiexec от Impacket.

Злоумышленник повторил свои действия на нескольких серверах, установил постоянство и провел второй раунд сброса учетных данных. Через шесть часов после первого доступа они использовали инструмент Restic для утечки данных с файлового сервера на удаленный сервер в Болгарии. Их деятельность приостановилась примерно на семь дней, после чего они возобновили ее, получив доступ к консоли резервного копирования.

На восьмой день злоумышленники перешли к достижению конечных целей, используя такие инструменты, как xcopy и PSEXEC, для развертывания в сети программы BlackCat ransomware. Они настроили скомпрометированные системы на перезагрузку в безопасном режиме с сетевыми настройками, чтобы при перезагрузке запускалась программа-вымогатель. Это привело к повсеместному шифрованию файлов и рассылке записок с выкупом, а сама атака длилась около 156 часов.

Indicators of Compromise

IPv4 Port Combinations

194.169.175.134:8443
194.49.94.18:8443
195.123.226.84:8000
91.92.245.26:443
91.92.250.60:443
91.92.250.65:443

MD5

0b1882f719504799b3211bf73dfdc253
1be7fe8e20f8e9fdc6fd6100dcad38f3
3a4fdbc642a24a240692f9ca70757e9f
4232c065029eb52d1b4596a08568e800
637fb65a1755c4b6dc1e0428e69b634e
7a1e7f652055c812644ad240c41d904a
7a4cb8261036f35fd273da420bf0fd5e
c737a137b66138371133404c38716741
dbf5f56998705c37076b6cae5d0bfb4d
e0d1cf0abd09d7632f79a8259283288d
e20fc97e364e859a2fb58d66bc2a1d05
eb64862f1c8464ca3d03cf0a4ac608f4

SHA1

3a78ce27a7aa16a8230668c644c7df308de6cf33
448892d5607124fdd520f62ff0bc972df801c046
6f43e6388b64998b7aa7411104b955a8949c4c63
794203a4e18f904f0d244c7b3c2f5126b58f6a21
79818110abd52ba14800cdff39eca3252412b232
9648559769179677c5b58d5619ca8872f5086312
a3e4fb487400d99e3a9f3523aeaa9af5cf6e128b
b39c244c3117f516ce5844b2a843eff1e839207c
c4cde794cf4a68d63617458a60bc8b90d99823ca
e6ab3c595ac703afd94618d1ca1b8ebce623b21f
f5f56413f81e8f4a941f53e42a90ba1720823f15
fba4652b6dbe0948d4dadcebf51737a738ca9e67

SHA256
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