A You Dun csoport elemzése
A DFIR Report Threat Intel Team 2024 januárjában észlelt egy nyitott könyvtárat, és elemezte azt a TTP-k és a fenyegető szereplők tevékenysége szempontjából. Az áttekintést követően azonosították, hogy a magukat „You Dun”-nak nevező kínai nyelvű hackercsoporthoz kapcsolódik.
A kiberszereplő különböző tevékenységeket végzett a vizsgált állomás használatával, amelyek között felderítési és webes kihasználási tevékenységek is szerepeltek. Olyan eszközökkel, mint a WebLogicScan, a Vulmap és az Xray, számos sérülékeny szervert tudtak azonosítani. Számos Zhiyuan OA szoftvert futtató weboldalt használtak ki, és az SQLmap segítségével SQL-injekciót hajtottak végre. Több sikeres kihasználási kísérletre találtak bizonyítékot. A hozzáférés megszerzése után további eszközök használatát azonosították, amelyekkel megpróbáltak különböző kihasználásokkal jogosultságot emelni a kompromittált hosztokon, beleértve a traitor használatát a Linux jogosultságnövelő kihasználásokhoz és a CDK használatát a Docker és Kubernetes jogosultságnöveléshez.
A kiberszereplő a kiszivárgott LockBit 3 ransomware builder-t is felhasználta egy egyedi bináris LB3.exe létrehozásához. A LockBit-bináris által létrehozott váltságdíj-felhívás az „EVA” által adminisztrált „You_Dun” Telegram-csoport elérhetőségét adta meg. A felelős csoport a „Dark Cloud Shield Technical Team” nevet is használja. Úgy tűnik, hogy ez a csoport a csatornáik szerint behatolásvizsgálattal foglalkozik, de illegális adatértékesítéssel, DDoS-al is foglalkozik, és a LockBit bináris alapján ransomwareket is használ.
