2021-06-15 15:05:00
Бэкдоры которые применяли мошенники
Мы обнаружили 5 вариантов утилит-бэкдоров, которые позволяли
злоумышленникам выполнять команды с помощью cmd.exe. Как правило, трафик между бэкдорами и управляющим сервером, шифровался. Некоторые бэкдоры выполняли команды непосредственно, другие добавляли полученные от управляющего сервера задания в службы расписания.
Помимо традиционных бэкдоров,
в сети компании обнаружился веб-шелл, внедрённый на сайт под управлением Apache. Команды которые позволял выполнять веб-шелл на фото.
Помимо бэкдоров и средств для сбора и хищения данных,
преступники применяли различные вспомогательные утилиты. Наиболее часто среди них встречались:
файловый дроппер
TROJ_CHINOXY.ZAGK, который помещал в папку автозагрузки легитимную утилиту с вредоносной dll
Procdump — утилита для дампа памяти системного процесса LSASS
Mimikatz — утилита для извлечения паролей к учётным записям залогиненных пользователей
NBTScan — сканер серверов и компьютеров с открытыми сетевыми папками.
138 views12:05