لاحظ خبراء الأمن في FireEye المجموعة ذات الدوافع المالية FIN6 التي تضيف LockerGoga و Ryuk Ransomware إلى ترسانتها.
وفقًا لخبراء الأمن السيبراني في FireEye ، تقوم مجموعة مكافحة جرائم الإنترنت FIN6 بتنويع أنشطتها ، وإضافة LockerGoga و Ryuk ransomware إلى ترسانتها.
تهدف الهجمات السابقة التي قامت بها مجموعة FIN6 إلى المساس بنظم نقاط البيع (PoS) ، ولكن العمليات الأخيرة التي قامت بها المجموعة وسعت أهدافها وضربت الكيانات في الصناعة الهندسية.
"في الآونة الأخيرة ، اكتشف FireEye Managed Defense وتجاوب مع اقتحام FIN6 لدى أحد العملاء في الصناعة الهندسية ، والذي بدا أنه غير ذي طابع بسبب استهداف FIN6 التاريخي لبيانات بطاقة الدفع." يقرأ التحليل الذي نشرته FireEye.
"لقد وسعت FIN6 مشروعها الإجرامي لنشر رانسومواري في محاولة لاستثمار أموالهم في الوصول إلى كيانات معرضة للخطر.
تفاصيل منشور المدونة هذا أحدث أساليب وتقنيات وإجراءات FIN6 (TTPs) ، بما في ذلك العلاقات مع استخدام أسرتي LockerGoga و Ryuk ransomware. "
نسبت الهجمات الأخيرة التي شملت كل من Ryuk و LockerGoga إلى عصابة الجريمة FIN6 أو بعض أعضائها الذين يبدو أنهم عملوا بشكل مستقل.
وقد تتبع الخبراء هذه التدخلات إلى يوليو 2018 ، فقد تسببوا في خسارة عشرات الملايين من الدولارات للضحايا.
تُعزى الموجة الأخيرة من الهجمات إلى تأثير FIN6 على أوراق الاعتماد المسروقة ، Cobalt Strike ، Metasploit ، وغيرها من الأدوات المتاحة للجمهور في مرحلة الاستطلاع.
استخدم المهاجمون بروتوكول Windows Remote Desktop Protocol (RDP) للحركة الجانبية ، استخدم المهاجمون التقنيات التالية لمواصلة الهجمات:
استخدم المهاجمون PowerShell لتنفيذ أمر مشفر لإضافة Cobalt Strike إلى النظام المخترق وتنفيذ سلسلة من الحمولات الصافية حتى يتم استرداد آخر.
أنشأ المهاجمون خدمات Windows عشوائيًا لتنفيذ أمر PowerShell المشفر الذي تضمن حمولة عكسية لقذيفة HTTP مخزنة في صفيف بايت مثل التقنية الأولى.
"تم تكوين حمولة HTTP العكسي لـ Metasploit للتواصل مع عنوان IP للأمر والتحكم (C2) 176.126.85 [.] 207 مع مورد مسمى عشوائيًا مثل" / ilX9zObq6LleAF8BBdsdHwRjapd8_1Tl4Y-9Rc6hMbPXHPgVTBTB02CBH التي من شأنها أن تجعل طلب HTTPS لتنزيل إضافي. "يواصل التحليل.
"لتحقيق تصعيد الامتياز داخل البيئة ، استخدمت FIN6 تقنية انتحال شخصية مسماة مدرجة في إطار Metasploit تسمح بتصعيد امتياز على مستوى SYSTEM."
يستخدم المهاجمون برنامج AdFind للاستعلام عن Active Directory ولجعل الحركات الجانبية ، استخدموا 7-Zip لضغط البيانات قبل إرسالها إلى خادم C2.
"العمليات الإجرامية والعلاقات قابلة للتكيف بدرجة كبيرة ، لذلك نواجه عادة تحديات الإسناد هذه فيما يتعلق بالنشاط الإجرامي." ويخلص FireEye. "نظرًا لاستمرار عمليات الاقتحام هذه لمدة عام تقريبًا ، نتوقع أن تمكننا البحوث المستمرة في محاولات الاقتحام الإضافية من الإجابة بشكل كامل على هذه الأسئلة المتعلقة بالوضع الحالي لـ FIN6" ،
يتم الإبلاغ عن مزيد من التفاصيل الفنية ، بما في ذلك مؤشرات التسوية ، في التحليل الذي نشرته FireEye.
ليست هناك تعليقات:
إرسال تعليق