Gang Russe De Rançongiciels

Une équipe de ransomware russophone a probablement ciblé une entité anonyme dans le secteur des jeux d’argent et de hasard en Europe et en Amérique centrale en réaffectant des outils personnalisés développés par d’autres groupes APT comme MuddyWater en Iran, selon une nouvelle étude.

La chaîne d’attaque inhabituelle impliquait l’abus d’informations d’identification volées pour obtenir un accès non autorisé au réseau de la victime, conduisant finalement au déploiement de charges utiles Cobalt Strike sur des actifs compromis, mentionné Felipe Duarte et Ido Naor, chercheurs de la société israélienne de réponse aux incidents Security Joes, dans un rapport publié la semaine dernière.

Sauvegardes Github Automatiques

Bien que l’infection ait été contenue à ce stade, les chercheurs ont qualifié la compromission de cas d’attaque suspectée par un ransomware.

L’intrusion aurait eu lieu en février 2022, les attaquants utilisant des outils de post-exploitation tels que ADFidNetScan, SoftPerfectet LaZagne. Un exécutable AccountRestore est également utilisé pour forcer les informations d’identification de l’administrateur et une version fourchue d’un outil de tunnellisation inversée appelé Ligolo.

Avvxsegkcubyijclvsjtrxqu80Set5Hb2Ql48Yrc7Fny5M6 Nweioefubmlcjc7Osimpjubk7Nlhtn1Ebjlrbjbuz0Drx2B9W2Gpvqktel0Dbv70Oj0Olqft7Hvyvnbovryv4L0Cjzqefy5Zlmidf5Tcf62Zdtp Lnfl7At0J 85Nhykyk1Ouygjev5Tjwko

Appelée Sockbot, la variante modifiée est un binaire Golang conçu pour exposer les actifs internes d’un réseau compromis à Internet de manière furtive et sécurisée. Les modifications apportées au malware suppriment la nécessité d’utiliser des paramètres de ligne de commande et incluent plusieurs contrôles d’exécution pour éviter d’exécuter plusieurs instances.

Publicité

Étant donné que Ligolo est un outil principal de choix pour le groupe d’État-nation iranien MuddyWater, l’utilisation d’une fourchette Ligolo a soulevé la possibilité que les attaquants prennent des outils utilisés par d’autres groupes et incorporent leurs propres signatures dans une tentative probable de confondre l’attribution. .

Empêcher Les Violations De Données

Les liens vers un groupe de ransomwares russophones proviennent de chevauchements d’artefacts avec des kits d’outils de ransomwares courants. De plus, l’un des binaires déployés (AccountRestore) contient des références codées en dur en russe.

« La stratégie utilisée par les acteurs de la menace pour accéder et pivoter sur l’infrastructure de la victime nous permet de voir un ennemi persistant et sophistiqué avec des compétences en programmation, une expérience d’équipe rouge et un objectif clair à l’esprit, ce qui est loin du profil habituel du script kiddie », a déclaré le ont déclaré les chercheurs.

« Le fait que le point d’entrée de cette intrusion était un ensemble d’informations d’identification compromises rassure sur l’importance d’appliquer des contrôles d’accès supplémentaires pour tous les différents actifs de toute organisation. »


Rate this post
Publicité
Article précédentDead Space Remake vise maintenant la sortie début 2023
Article suivantUtilisez Scrcpy Open Source pour contrôler Android via Windows et macOS
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici