Nhóm tội phạm mạng FIN6, trước đây có liên quan đến việc đánh cắp dữ liệu thẻ thanh toán, đã bị cáo buộc mở rộng hoạt động để triển khai Windows ransomware, công ty bảo mật FireEye tuyên bố.

Một bài đăng trên blog được tác giả bởi các nhà nghiên cứu Brendan McKeague, Van Ta, Ben Fedore, Geoff Ackerman, Alex Pennino, Andrew Thompson và, cho biết họ đã tìm thấy bằng chứng về ransomware khi điều tra một vụ xâm nhập tại một khách hàng không tên. ngành công nghiệp kỹ thuật.

Cuộc xâm nhập được cho là sử dụng thông tin bị đánh cắp, phần mềm mô phỏng mối đe dọa Cobalt Strike, cơ sở dữ liệu khai thác Metasploit và các công cụ có sẵn công khai như Adfind và 7-Zip để tiến hành trinh sát nội bộ, nén dữ liệu và hỗ trợ trong nhiệm vụ tổng thể.

Bài đăng chứa đầy phích cắm cho các sản phẩm được bán bởi FireEye và nhóm Mandiant của họ, cho biết các nhà nghiên cứu đã xác định được các kỹ thuật lảng tránh nhất được sử dụng bởi nhóm FIN6.

Xoay Xoay từ các khách hàng tiềm năng ban đầu này, các nhà phân tích đã xác định các kết nối SMB đáng ngờ và các thành phần Windows Registry cho thấy kẻ tấn công đã cài đặt các dịch vụ Windows độc hại để thực thi các lệnh PowerShell trên các hệ thống từ xa, họ đã viết.

Các mục Nhật ký sự kiện của Windows đã tiết lộ chi tiết tài khoản người dùng chịu trách nhiệm cho việc cài đặt dịch vụ và cung cấp các chỉ số thỏa hiệp bổ sung để hỗ trợ Managed Defense trong việc xác định thỏa hiệp và xác định các hệ thống khác được FIN6 truy cập. Managed Defense đã sử dụng các mục Windows Shellbag của Windows Registry để xây dựng lại các hành động FIN6 trên các hệ thống bị xâm nhập phù hợp với chuyển động bên.

Managed Defense là một tên khác mà FireEye sử dụng cho Mandiant.

Điểm xâm nhập ban đầu cho sự xâm nhập được xác định là một hệ thống truy cập Internet, sau đó thông tin bị đánh cắp đã được sử dụng để chuyển sang các máy khác trong mạng Windows. Một chỗ đứng được thiết lập theo hai cách: bằng cách sử dụng PowerShell để thực thi lệnh được mã hóa và bằng cách tận dụng việc tạo các dịch vụ Windows để thực thi các lệnh PowerShell được mã hóa.

Các nhà nghiên cứu phát hiện ra rằng cả ransomware LockerGoga và Ryuk đang được FIN6 sử dụng trong cuộc tấn công này. LockerGoga gần đây đã được sử dụng để tấn công công ty nhôm Na Uy Norsk Hydro .

FireEye được biết là nhanh chóng tấn công thuộc tính, nhưng lần này nhóm có vẻ hơi do dự khi làm điều đó.

FIN FIN6 có thể đã phát triển toàn bộ để tập trung vào các cuộc xâm nhập tống tiền này, các nhà nghiên cứu đã viết. Tuy nhiên, dựa trên sự khác biệt về chiến thuật giữa các sự cố ransomware và hoạt động FIN6 lịch sử này, cũng có thể một số nhà khai thác FIN6 đã thực hiện các cuộc xâm nhập triển khai ransomware độc ​​lập với các vi phạm thẻ thanh toán của nhóm. [[9009003]

www.extremehacking.org

Sadik Shaikh | Cyber ​​Suraksha Abhiyan, Viện đào tạo hack đạo đức, CEHv10, CHFI, ECSAv10, CAST, ENSA, CCNA, CCNA AN NINH, MCITP, RHCE, CHECKPOINT, ASA FIREWALL, MẠNG, CÁCH MẠNG, CÁCH MẠNG Hacking đạo đức, Trung tâm đào tạo an ninh nâng cao ở Ấn Độ, khóa ceh v10 ở Pune-Ấn Độ, chứng nhận ceh ở pune-Ấn Độ, đào tạo ceh v10 ở Pune-Ấn Độ, Khóa học đạo đức ở Pune-Ấn Độ


nguon http://blog.extremehacking.org/blog/2019/04/08/cyber-crime-group-fin6-now-using-windows-ransomware/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây