Исследователи из компании Unit 42 в результате инцидента вымогательством обнаружили набор инструментов, предназначенный для обхода антивирусных систем и систем обнаружения и реагирования на конечные точки (AV/EDR).
Описание
Злоумышленник первоначально проник в сеть, купив доступ у брокера первоначального доступа с помощью Atera RMM. Затем они установили постоянство через запланированные задачи для маяков Cobalt Strike и использовали инструмент под названием disabler.exe, который использовал технику «принеси свой собственный уязвимый драйвер» (BYOVD) для удаления крючков EDR и обратных вызовов режима ядра. Этот инструмент был протестирован против агента Cortex XDR на виртуальной системе, в результате чего Unit 42 получил доступ к несанкционированным системам.
Набор инструментов содержал различные средства для доступа к учетным данным, такие как несколько сборок Mimikatz и сценарии PowerShell для дампа процесса lsass.exe, а также инструменты для генерации шелл-кода, обфускации кода и обхода защиты. Обнаружение в сети осуществлялось с помощью встроенных инструментов на скомпрометированном контроллере домена, а боковое перемещение - с помощью Windows RDP и PsExec. Эксфильтрация данных осуществлялась с помощью Rclone на SFTP-сервер, а командование и контроль поддерживались с помощью активности Cobalt Strike Beacon.
Нарушения оперативной безопасности, допущенные злоумышленником, включая демонстрационные видеоролики с инструментами обхода AV/EDR и личные документы, позволили Unit 42 составить профиль злоумышленника и установить личность, которая, вероятно, является одним из разработчиков KernelMode и инструмента обхода AV/EDR. Расследование также выявило использование определенных идентификаторов водяных знаков в маячках Cobalt Strike, которые были связаны с другими киберпреступными действиями. В неавторизованной системе содержалась личная и конфиденциальная информация об одном человеке, и хотя прямых доказательств, связывающих ее с развертыванием вымогательского ПО, нет, система использовалась в основном для обхода AV/EDR.
Indicators of Compromise
IPv4
- 180.131.145.85
- 82.192.88.95
- 89.251.22.32
- 94.75.225.81
Domains
- beamofthemoon.com
- mail.beamofthemoon.com
- store.beamofthemoon.com
SHA256
- 0112e3b20872760dda5f658f6b546c85f126e803e27f0577b294f335ffa5a298
- 1228fd70d7ce0f31f7e7c98520e66a01935e428be561ce0d25140ba33598f688
- 14364f1969b83cf4ec2c0e293c6b4d8f750932f6cbf9a8f32173400de33469fd
- 22f52c9e66330642e836aaf1b6573dd7452e76e0f0b5e6ac594a0278689e1d8f
- 264a29a703682456ebe9f679a0e7d18291af84ef4b53a669c2555061e4972394
- 3758c5eb1fbab2362ef23091f082710606c1b4ebaeaff9b514896dc2a1e2ab17
- 41f32a3d67b3f983c82070e067a121dd5b8fae2804c97e684acc7f599ba308da
- 49d01f2e32808e24dc8129d3c1ebe444f71792ddec2efabee354335fc6d6f64c
- 6106d1ce671b92d522144fcd3bc01276a975fe5d5b0fde09ca1cca16d09b7143
- 61c0810a23580cf492a6ba4f7654566108331e7a4134c968c2d6a05261b2d8a1
- 6e37a054bd7c49b233cace747951911f320bd43be8a79ce455b97403c2f7de2c
- 71dfb3f52df040644221f8c59215f83eb516186b6f82dbbb2c16bf3c22e4baf6
- 7c8559134a49c8d8739b66a549f10b22d4fd16afaff51976562f995b2bcd01a9
- 8b9c7d2554fe315199fae656448dc193accbec162d4afff3f204ce2346507a8a
- 8d36705a5b7f6179fdef2d600276f9c0cc6cb3b0a670c11d66baaaea6bd2c8ad
- 97f2676c6d1e16264584ce4c1f1e8790598ba2a85ae08e3d6e394669240b9908
- aa97acd5628c1f7a16cb98e7b9ce7228119759133f1649b1d5ed849a1a98448b
- d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb
- f1c45cbbd98619e197154085a05fd972283af6788343aa04492e35798a06e2b7
