Ransomware csoportok közötti kapcsolat
A The DFIR Report elemzett egy kiberbiztonsági incidenst, amely 2024 szeptemberében kezdődött egy rosszindulatú fájl letöltésével, amely a DeskSoft EarthTime alkalmazását utánozta. A fájl végrehajtása után a SectopRAT települt a kompromittált eszközre, amely kapcsolatot létesített a C2 infrastruktúrával. A támadó kialakította a perzisztenciát a rosszindulatú fájl áthelyezésével és egy parancsikon elhelyezésével a Startup mappába, amely a felhasználó bejelentkezésekor aktiválódott, . Tovább növelték a hozzáférést egy új helyi fiók létrehozásával és helyi rendszergazdai jogosultságok hozzárendelésével.
A kezdeti hozzáférés megteremtése után nem sokkal a kártevő program telepítette a SystemBC-t. Ezután az újonnan létrehozott helyi fiókot használva RDP-n keresztül hozzáfértek a beachhead hoszthoz, és discovery parancsokat hajtottak végre. Ebben a szakaszban a támadó DCSync-támadást hajtott végre egy tartományvezérlő ellen. Ezután a beépített rendszergazdai fiókkal RDP-n keresztül csatlakoztak a tartományvezérlőhöz, és a PsExec segítségével SYSTEM jogosultságokkal futtatták a SystemBC-t a hoszton. A meglévő proxy alagút használatával a kiberszereplő ismét RDP-n keresztül csatlakozott a környezetben található hosztokhoz. A kiberszereplő Windows segédprogramokat, például ipconfig és nltest használt a tartományvezérlőn.
A kiberszereplő a tevékenysége során alkalmazta a Play Ransomware-hez köthető eszközt, a Grixba-t, amely WMI-t és WinRM-et használ a hálózaton található felhasználók és rendszerek felfedezésére, és amelyet mind a tartományvezérlő, mind a backup szerverről futtattak. A kiberszereplő használta a SectopRAT-ot és a Betruger-t is. A behatolás során a kiberszereplő több védelemkerülő technikát is alkalmazott, többek között process injection-t, timestompingot, a Microsoft Defender védelmének letiltását, valamint hamis metaadatokkal ellátott bináris fájlok telepítését, hogy legitim kiberbiztonsági eszközöknek, például a SentinelOne-nak és az Avast Antivirusnak álcázza magát.
A The DFIR Report szerint a bizonyítékok három különböző ransomware-műveletre utalnak. A Grixba eszközöket a Play ransomware csoporttal hozták összefüggésbe. Hasonlóképpen, a Betruger backdoor-t a Ransomhubhoz kapcsolódó kiberszereplőkkel hozták összefüggésbe. Végül, az OPSEC hibák miatt, a kiberszereplő nyomokat hagyott egy korábbi hálózati vizsgálat eredményeiről, amelyek úgy tűntek, hogy egy olyan vállalat adatait tartalmazzák, amelyeket 2024-ben már közzétettek a DragonForce Ransomware szivárogtatási oldalon. Ezen indikátorok alapján a The DFIR Report úgy értékeli, hogy ez a kiberszereplő több ransomware csoport affiliate tagjaként volt aktív.
