Cloud Networks • Новости • Хакер скомпрометировал Active Directory менее, чем за 24 часа
15.01.2023

Хакер скомпрометировал Active Directory менее, чем за 24 часа

Недавняя атака вредоносного ПО IcedID позволила злоумышленнику скомпрометировать домен Active Directory менее, чем через 24 часа после получения первоначального доступа, а также позаимствовать методы у других групп (как Conti) для достижения своих целей.

Во время атаки хакер злоупотребил протоколоами Windows и выполнил:

  • рутинные команды разведки,
  • кражи учетных данных,
  • бокового перемещения,
  • а также Cobalt Strike на недавно скомпрометированном хосте.

 

IcedID, также известный под названием BokBot, начал свою жизнь как банковский троян в 2017 году, а затем превратился в дроппер для других вредоносных программ, как Emote, TrickBot, Qakbot, Bumblebee и Raspberry Robin.

В атаках, связанных с доставкой IcedID, использовались различные методы. Особенно после решения Microsoft заблокировать макросы из файлов Office, загруженных из Интернета. Цепочка заражения начинается с файла образа ISO, содержащегося в ZIP-архиве. Его открытие завершается выполнением полезной нагрузки IcedID. Далее программа закрепляется на хосте с помощью запланированной задачи и связывается с удаленным сервером для загрузки полезных нагрузок следующего этапа, включая маяк Cobalt Strike для последующей разведки.

Вредоносное ПО также выполняет боковое перемещение по сети и запускает один и тот же Cobalt Strike Beacon на всех этих рабочих станциях, а затем приступает к установке агента Atera, законного инструмента удаленного администрирования, в качестве резервного механизма удаленного доступа.

Использование подобных ИТ-инструментов позволяет злоумышленникам создать для себя дополнительный «бэкдор» на случай, если их первоначальные механизмы сохранения будут обнаружены и исправлены. Эти инструменты с меньшей вероятностью будут обнаружены антивирусом или EDR, а также с большей вероятностью будут списаны как ложные срабатывания.

 

Cobalt Strike Beacon также используется в качестве канала для загрузки инструмента C#, получившего название Rubeus. Используется он для кражи учетных данных, что в итоге позволяет хакеру перемещаться на Windows Server с правами администратора домена. Повышенные разрешения используются для проведения атаки DCSync, позволяя злоумышленнику имитировать поведение контроллера домена и получать учетные данные с других контроллеров домена.

Другие инструменты, используемые в рамках атаки, включают в себя:

  • законную утилиту netscan.exe для сканирования сети на предмет бокового перемещения;
  • а также программное обеспечение для синхронизации файлов rclone для эксфильтрации интересующих каталогов в службу облачного хранения MEGA.

Стоит отметить, что использование агента Atgera и netscan.exe ранее приписывалось операциям программ-вымогателей таких, как Conti и LockBit, из чего можно предположить, что преступники берут лист из своей книги.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
to-top