Oto co może się znajdować na serwerze kontrolowanym przez grupę przestępczą

7 maja 2020

Pan Adam Ziaja, prezes zarządu z firmy RedTeam.pl, opublikował interesujący wpis, bardzo krótki, aczkolwiek pokazujący sposób w jaki działają grupy cyberprzestępcze, prowadząc kampanie przeciwko dużym firmom na całym świecie.

Ekspert ds. cyberbezpieczeństwa, na jednym z wielu zabezpieczonych obrazów dysku serwera VPS, w ramach prowadzonych czynności śledczych, znalazł taki oto adres URL:  

http[:]//dnpscnbaix6nkwvystl3yxglz7nteicqrou3t75tpcc5532cztc46qyd.onion/

Otwierając stronę w przeglądarce Tor Browser można zobaczyć, czym zajmowali się cyberprzestępcy:

Skradzione informacje z konta pocztowego.

Na załączonym zrzucie ekranu widać program pocztowy Outlook. Dużo wiadomości po lewej, a na jednej z nich przekazane wszystkie dane z karty płatniczej: numer karty, datę wygaśnięcia, kod CVV, imię i nazwisko właściciela. Prawdopodobnie te zostały wykradzione przez przestępców. Tak samo jak wiele pozostałych poufnych informacji, które ciągle znajdują się do pobrania pod wyżej wymienionym adresem URL w domenie .onion.

Na liście kilkudziesięciu zaatakowanych firm są m.in.:

  • Patten & Prentice
  • Chris Electronics Distributors Inc
  • Groupe Cactus
  • M J Payne Ltd
  • Cincinnati Capital Corporation
  • ASCENT Network
  • Hyman Group Companies

Dla każdego przedsiębiorstwa przyporządkowano link do pobrania skradzionych informacji w wyniku cyberataku. Jest to prawdziwa gratka dla przestępców oraz dla konkurencji w branży.

SKradziona zawartość całego dysku. To jest katastrofa dla każdej firmy.

Na serwerze VPS znaleziono także ransomware Maze oraz Sodinokibi / REvil ransomware. Eksperci ustalili, że początkowo atakujący wykorzystywali lukę CVE-2019-11510 w zabezpieczeniach Pulse Secure VPN.

Znaleziono też narzędzia, którymi mogli się posługiwać hakerzy:

  • ADRecon [ https://github.com/sense-of-security/ADRecon ],
  • CrackMapExec [ https://github.com/maaaaz/CrackMapExecWin ],
  • ghost [ https://github.com/ginuerzh/gost ],
  • impacket secretsdump [ https://github.com/maaaaz/impacket-examples-windows/blob/master/secretsdump.exe ],
  • mimikatz [ https://github.com/gentilkiwi/mimikatz ],
  • PentestBox z Metasploit [ https://pentestbox.org ],
  • plink.exe [ https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html ],
  • PowerSploit [ https://github.com/PowerShellMafia/PowerSploit ],
  • Proxifier [ https://www.proxifier.com ],
  • PsTools (PsExec)

Cyberprzestępcy używali też dwóch plików wykonywalnych Eventlog-v6-fw3.exe (.NET 3) i Eventlog-v6-fw4.exe (.NET 4), które były przesyłane na zaatakowane maszyny w celu przeglądania historii logowania użytkowników.

Eksperci z RedTeaming.pl proszą o kontakt w przypadku znalezienia w sieci następujących wskaźników infekcji:

Eventlog-v6-fw3.exe

md5: 90ecf49afa94ffb47ffda283670366f3

sha1: 511a2d49df860ce260be59b308851c705816dc5f

sha256: 112e6ccb547d624e5c2ea7fb93065cf6681ee14f273b2a9968715b0db275a861

Eventlog-v6-fw4.exe

md5: 0bb3e286fcd2ecf1d62d515eb37c3f54

sha1: 452a53d70f89f97c1b0375f980223e460ead4901

sha256: 081bea740b6d6deb290b73ca8143967cd9815f5cc88d5d7f43d52b1a16823d93

Adresy IP:

37.1.203.158

37.1.204.143

5.45.87.6

Znalezione informacje na serwerze kontrolowanym przez przestępców pokazują, że jest jeszcze wiele do zrobienia. Pomijając takie podstawowe błędy jak przekazywanie drogą mailową poufnych informacji przez pracowników, czy zapisywanie wszystkich kontaktów, list płac, raportów, rachunków, faktur itp. w postaci niezaszyfrowanej.

Trenerzy bezpieczeństwa oraz firmy świadczące usługi/produkty do ochrony danych przed kradzieżą, mają jeszcze wiele do zrobienia.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone