Mayıs 2022 olayında Cisco’yu hedeflemek için kullanılan saldırı altyapısı, bir ay önce Nisan 2022’de isimsiz bir iş gücü yönetimi çözümleri holding şirketinin tehlikeye atılması girişimine karşı da kullanıldı.
Siber güvenlik firması eSentire, ifşa Bulgular, izinsiz girişlerin, UNC2165 adlı Evil Corp bağlı kümenin bir üyesi olduğu söylenen mx1r olarak bilinen bir suç aktörünün işi olabileceği ihtimalini artırdı.
Kötü şöhretli Dridex bankacılık truva atının ataları olan Evil Corp, yıllar içinde, Aralık 2019’da ABD Hazinesi tarafından uygulanan yaptırımları atlatmak için bir dizi fidye yazılımı operasyonu yürütmek için çalışma şeklini iyileştirdi.
Şirketin BT ağına ilk erişim, çalınan Sanal Özel Ağ (VPN) kimlik bilgileri kullanılarak mümkün hale getirildi, ardından yanal hareket için kullanıma hazır araçlardan yararlanıldı ve kurbanın ortamına daha derin erişim sağlandı.
eSentire, “Kobalt Strike’ı kullanarak, saldırganlar bir ilk dayanak noktası elde edebildiler ve uygulamalı eylemler, ilk erişim anından saldırganın kendi Sanal Makinesini kurbanın VPN ağına kaydettirebildiği ana kadar hızlı ve hızlıydı.” kayıt edilmiş.
mx1r’nin UNC2165 ile olan bağları, UNC2165’in taktik ve tekniklerindeki örtüşmelerden kaynaklanmaktadır. Kerberoasting saldırısı Active Directory hizmetine ve şirketin ağı içinde yayılmak için Uzak Masaüstü Protokolü (RDP) erişiminin kullanımına karşı.
Bununla birlikte, saldırıyı başlatmak için kullanılan Cobalt Strike “HiveStrike” altyapısının, daha önce dağıttığı bilinen bir Conti fidye yazılımı iştirakininkiyle eşleştiği söyleniyor. Kovan ve Yanluowang Sonuncusu, Mayıs 2022’nin sonlarında Cisco ihlalinden çalınan dosyaları veri sızıntısı sitesine gönderdi.
Ağ ekipmanı üreticisi, bu ayın başlarında olayı, üç farklı topluluğa bağlantıları olan bir ilk erişim komisyoncusuna (IAB) bağladı: UNC2447, LAPSUS$ ve Yanluowang fidye yazılımı. Yorum için ulaşıldığında, Cisco Talos, bu analizin ötesinde paylaşacak bir şeyi olmadığını söyledi.
eSentire, “Conti’nin altyapısını Evil Corp’a ödünç vermesi pek olası görünmüyor – ama imkansız değil – dedi. UNC2165’in LockBit fidye yazılımına yakın zamanda yaptığı pivot ışığında şirket, “Evil Corp bağlı kuruluşunun/UNC2165’in Conti’nin yeni yan kuruluşlarından biriyle çalışıyor olması daha makul” dedi.
Ayrıca, ilk erişimin bir Evil Corp bağlı kuruluşu tarafından aracılık edilmesi, ancak nihayetinde Hive operatörlerine ve bağlı kuruluşlarına satılması da mümkündür” diye ekledi.
Popular Articles
- 11 Aug NB IOT dönemi Turkcell ile başladı
- 01 Aug Öncesi ve Sonrası Fotoğrafları İle Britanya Sahillerinde Gerçekleşen Olağanüstü Gelgitler
- 16 Jul Hababam Sınıfı Sınıfta Kaldı Konusu Nedir? Hababam Sınıfı Sınıfta Kaldı Filmi Oyuncuları Kimlerdir?
- 11 Aug Dünyanın Her Yerinden Bir Parça Taşıyan National Geographic 2016 Yılının En İyi Fotoğrafları
- 14 Aug Karantinada Sonsuz Like Döngüsüne Hazır Olun: Evin İçinde Fotoğraf Çekilme Taktikleri
Latest Articles
- 26 Jul Wordle bugün: 9 Şubat (#600) için yanıt ve ipuçları
- 13 Jul Snapdragon 855in Şu Ana Kadarki En İyi Görüntü Teknolojisini Sunacağını Gösteren 5 Özellik
- 04 Aug Stranger Things Dizisinin Olağanüstü Konusu Aslında Gerçek Olaylardan Esinlenilmiş Olabilir mi?
- 26 Jul Chris Hemsworth Thor: Love & Thunder İçin Kendini Suçlamaya Devam Ediyor
- 02 Aug Bağımsız stüdyo, iptal edilen Magic School projesini paylaşmaya hazırlanıyor