ГИС

Хакеры использовали модифицированный инструмент обратного туннелирования в кибератаках

10.03.2022
Хакеры использовали модифицированный инструмент обратного туннелирования в кибератаках

Эксперты в области кибербезопасности обнаружили интересный случай атаки, в ходе которой хакеры применили специально разработанные инструменты, распространенные среди APT-группировок, сообщает SecurityLab.

По словам специалистов из компании Security Joes, атака была совершена на одну из компаний в индустрии азартных игр. Киберпреступники использовали сочетание специально разработанных и легкодоступных инструментов с открытым исходным кодом. Наиболее заметные примеры — модифицированная версия утилиты обратного туннелирования Ligolo и специальный инструмент для дампа учетных данных из LSASS.

Первоначальный доступ был получен через скомпрометированные учетные данные SSL-VPN сотрудников, за которыми последовало сканирование на предмет администраторов, брутфорс-атаки RDP и сбор учетных данных.

Последующие шаги включали получение доступа к дополнительным компьютерным системам с высокими привилегиями, развертывание специального прокси-туннелирования для безопасной связи и установку маячков Cobalt Strike.

Хотя в данном случае у злоумышленников не было возможности продвинуться дальше, следующим шагом могло быть развертывание полезной нагрузки программы-вымогателя.

Преступники также использовали утилиту Sockbot, написанную на языке программирования GoLang и основанную на инструменте обратного туннелирования Ligolo с открытым исходным кодом.

Отдельного внимания заслуживает пользовательский инструмент lsassDumper, также написанный на GoLang, используемый хакерами для автоматической эксфильтрации из процесса LSASS в службу transfer.sh. По словам экспертов, это первый раз, когда lsassDumper был обнаружен в реальных атаках.

Наконец, преступники использовали свободно доступный инструмент ADFind для сетевой рекогносцировки и сбора информации из Active Directory.