- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 36д 21ч 25м
- Сделки
- 251
- Нарушения
- 0 / 0
Точкой входа злоумышленника была система Министерства финансов Коста-Рики, к которой участник группы «MemberX» получил доступ через VPN, используя скомпрометированные учетные данные. По словам генерального директора Advanced Intelligence Виталия Кремеза, учетные данные были получены с помощью вредоносного ПО, установленного на скомпрометированном устройстве в сети жертвы.
На ранних стадиях атаки было настроено более 10 сеансов маяка Cobalt Strike. Согласно отчету, Conti получила доступ к скомпрометированному журналу VPN, установив зашифрованную форму Cobalt Strike внутри подсети Коста-Рики.
Получив доступ администратора домена локальной сети, злоумышленник использовал инструмент командной строки Nltest для перечисления доверительных отношений домена. Затем он просканировал сеть на наличие файловых ресурсов с помощью утилит ShareFinder и AdFind.
MemberX затем использовал бэкдор-канал Cobalt Strike для загрузки файлового ресурса на локальный компьютер. Злоумышленник смог получить доступ к административным общим ресурсам, куда он загрузил маяк Cobalt Strike, а затем запустил его с помощью инструмента PsExec для удаленного выполнения файлов.
Группа Conti использовала Mimikatz для запуска атаки DCSync и Zerologon, которая дала им доступ к каждому хосту во взаимосвязанных сетях Коста-Рики. Используя инструмент пост-эксплуатации Mimikatz для эксфильтрации учетных данных, хакер получил «незашифрованные и поддающиеся подбору хэши локального администратора, домена и администратора предприятия».
Чтобы сохранить доступ в случае обнаружения, Conti установила инструмент удаленного доступа Atera на хосты с меньшей активностью пользователей, где у них были привилегии администратора.
Кража данных стала возможной с помощью программы командной строки Rclone, которая может управлять файлами в нескольких облачных хранилищах. Conti использовала Rclone для загрузки данных в файлообменник MEGA.
Последнее редактирование:
