Операция вымогателя Yanluowang созревает с опытными партнерами

13
ФБР связывает программу-вымогатель Diavol с киберпреступной группировкой TrickBot

Филиал недавно обнаруженного вымогателя Yanluowang сосредотачивает свои атаки на американские организации в финансовом секторе, используя вредоносное ПО BazarLoader на стадии разведки.

Основываясь на наблюдаемых тактиках, методах и процедурах, злоумышленник имеет опыт работы с операциями «программа-вымогатель как услуга» (RaaS) и может быть связан с группой Fivehands.

Подключение к программе-вымогателю Fivehands

Исследователи Symantec, подразделения Broadcom Software, отмечают, что этот актер добивался значительных успехов в США как минимум с августа.

В то время как его интерес проявляется к финансовым учреждениям, дочерняя компания Yanluowang также нацелена на компании в производственном, ИТ-сервисном, консультационном и инженерном секторах.

Изучив тактику, техники и процедуры (ДТС), исследователи заметили возможную связь со старыми атаками с помощью Thieflock, операции вымогателя, разработанной группой Fivehands.

Сама программа-вымогатель Fivehands появилась относительно недавно и стала известна в апреле — сначала в отчете Mandiant, который отслеживает своего разработчика как UNC2447, а затем в предупреждении от CISA.

В то время в Mandiant заявили, что UNC2447 продемонстрировал «расширенные возможности для уклонения от обнаружения и минимизации криминалистической экспертизы после вторжений», и что его дочерние компании развертывали программу-вымогатель RagnarLocker.

Symantec отмечает, что связь, обнаруженная между недавними атаками Yanluowang и более ранними атаками с помощью Thieflock, носит предварительный характер, поскольку она основана на нескольких TTP, обнаруженных в атаках программ-вымогателей Fivehands, таких как:

  • использование собственных инструментов восстановления паролей и инструментов с открытым исходным кодом (например, GrabFF)
  • с помощью инструментов сетевого сканирования с открытым исходным кодом (например, SoftPerfect Network Scanner)
  • использование браузера S3 и браузера Cent для загрузки и выгрузки данных

«Эта ссылка вызывает вопрос о том, был ли Yanluowang разработан Canthroid [он же Fivehands]. Однако анализ Yanluowang и Thieflock не дает никаких доказательств совместного авторства. Вместо этого наиболее вероятная гипотеза состоит в том, что эти атаки Yanluowang могут быть осуществлены бывшим филиалом Thieflock », — говорят исследователи.

Инструменты торговли

Получив доступ к целевой сети, злоумышленник использует PowerShell для загрузки инструментов, таких как вредоносная программа BazarLoader, которая помогает перемещаться вбок.

BazarLoader доставляется корпоративным целям с помощью ботнета TrickBot, который также распространяет вымогатель Conti. Совсем недавно операторы TrickBot начали помогать восстанавливать ботнет Emotet.

Злоумышленник Yanluowang включает службу удаленного рабочего стола (RDP) из реестра и устанавливает инструмент ConnectWise для удаленного доступа.

Исследователи говорят, что партнер обнаруживает интересующие системы с помощью инструмента AdFind — для запроса Active Directory и SoftPerfect Network Scanner — для поиска имен хостов и сетевых сервисов.

Несколько инструментов используются для кражи учетных данных из браузеров (Firefox, Chrome, Internet Explorer) взломанных машин: GrabFF, GrabChrome, BrowserPassView.

Исследователи Symantec также заметили, что злоумышленник использовал KeeThief для кражи главного ключа диспетчера паролей KeePass, инструмента захвата экрана и утилиты для кражи данных Filegrab.

В предыдущем отчете об атаках Yanluowang компания заявила, что хакеры угрожали распределенным отказом в обслуживании (DDoS) и атаками с удалением данных, если жертва не выполнит требования.

Сегодняшний отчет о филиале Yanluowang включает индикаторы компрометации инструментов и вредоносных программ, использованных при атаке.

Предыдущая статьяРынок даркнета Cannazon закрывается после масштабной DDoS-атаки
Следующая статьяFarming Simulator 22 бьет рекорды серии: за первую неделю было продано 1,5 млн

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь