2021-06-28 18:03:00
Проникновение в систему
Основные способы получения доступа к сети, которые используются в вымогательских операциях:
покупка скомпрометированных учётных записей — доступ как услуга
самостоятельный поиск уязвимостей инфраструктуры жертвы и их эксплуатация
фишинг
При атаках Nefilim было выявлено использование открытых служб RDP и общедоступных эксплойтов для уязвимости в Citrix Application Delivery Controller.
Получив доступ, злоумышленники Nefilim загружали дополнительные инструменты:
агент Cobalt Strike, который используется для удаленного доступа и выполнения команд
Process Hacker, используемый для завершения работы агентов безопасности конечных точек
Mimikatz, используемый для сброса учетных данных
В одном из проанализированных инцидентов злоумышленники сначала попытались установить неподписанный агент Cobalt Strike, который обнаружили антивирусным агентом, работающим на сервере. Но через несколько дней
они вернулись в сеть жертвы с уже подписанным агентом, который снова был обнаружен.
217 views15:03