Главная страница » IOC
0
6 месяцев
IOC

RansomHub APT IOCs

security

Команда ThreatDown Managed Detection and Response (MDR) обнаружила новый метод атаки, используемый бандой вымогателей RansomHub. Они использовали два инструмента, TDSSKiller и LaZagne, для отключения системы обнаружения и реагирования на конечных точках (EDR) и сбора учетных данных соответственно.

RansomHub

TDSSKiller - это инструмент, разработанный компанией Kaspersky для удаления руткитов. РansomHub использовал этот инструмент для отключения различных служб безопасности. На важный фактор, способствующий успешности атаки, влияет то, что злоумышленник имеет права администратора. Исключение службы может быть успешным, даже если включена защита от несанкционированного доступа. Параметры командной строки указывают конкретные службы, которые необходимо отключить.

LaZagne - известный инструмент для сбора учетных данных. RansomHub использовал его для извлечения сохраненных учетных данных с взломанной системы. Этот инструмент позволяет злоумышленникам получать информацию для входа в систему из различных приложений, таких как браузеры, почтовые клиенты и базы данных. Это дает им больше возможностей для перемещения по сети. Командная строка указывает, что злоумышленники выбрали учетные данные базы данных, что дает им доступ к конфиденциальным данным и повышает привилегии.

Команда Sangfor Cyber Guardian Incident Response (IR) также сообщила о использовании параметра -dcsvc в инструменте TDSSKiller группой вымогателей LockBit. Данный параметр позволяет удалить выбранную службу, удаляя ключи реестра и связанные с ней исполняемые файлы.

В целом, команда MDR ThreatDown обнаружила новый метод атаки, включающий использование инструментов TDSSKiller и LaZagne, которые помогают банде вымогателей RansomHub отключить систему обнаружения и реагирования на конечных точках и собрать учетные данные. Этот метод атаки не был указан в недавно опубликованном совете CISA по RansomHub. Поэтому организации должны быть готовы к таким атакам и принимать соответствующие меры безопасности для защиты своей информационной системы.

Indicators of Compromise

MD5

  • 5075f994390f9738e8e69f4de09debe6
  • ff1eff0e0f1f2eabe1199ae71194e560

SHA256

  • 2d823c8b6076e932d696e8cb8a2c5c5df6d392526cba8e39b64c43635f683009
  • 467e49f1f795c1b08245ae621c59cdf06df630fc1631dc0059da9a032858a486
Комментарии: 0
Похожие записи
0
7 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
7 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает