• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Раскрыты подробности атаки Conti на Коста-Рику

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

В апреле 2022 года группировка Conti получила доступ к сети правительства Коста-Рики для проведения масштабной кибератаки. В отчете компании AdvIntel подробно описываются шаги Conti от первоначальной позиции до захвата 672 ГБ данных и запуска программы-вымогателя.

Точкой входа злоумышленника была система Министерства финансов Коста-Рики, к которой участник группы «MemberX» получил доступ через VPN, используя скомпрометированные учетные данные. По словам генерального директора Advanced Intelligence Виталия Кремеза, учетные данные были получены с помощью вредоносного ПО, установленного на скомпрометированном устройстве в сети жертвы.

На ранних стадиях атаки было настроено более 10 сеансов маяка Cobalt Strike. Согласно отчету, Conti получила доступ к скомпрометированному журналу VPN, установив зашифрованную форму Cobalt Strike внутри подсети Коста-Рики.

Получив доступ администратора домена локальной сети, злоумышленник использовал инструмент командной строки Nltest для перечисления доверительных отношений домена. Затем он просканировал сеть на наличие файловых ресурсов с помощью утилит ShareFinder и AdFind.

MemberX затем использовал бэкдор-канал Cobalt Strike для загрузки файлового ресурса на локальный компьютер. Злоумышленник смог получить доступ к административным общим ресурсам, куда он загрузил маяк Cobalt Strike, а затем запустил его с помощью инструмента PsExec для удаленного выполнения файлов.

Группа Conti использовала Mimikatz для запуска атаки DCSync и Zerologon, которая дала им доступ к каждому хосту во взаимосвязанных сетях Коста-Рики. Используя инструмент пост-эксплуатации Mimikatz для эксфильтрации учетных данных, хакер получил «незашифрованные и поддающиеся подбору хэши локального администратора, домена и администратора предприятия».

Чтобы сохранить доступ в случае обнаружения, Conti установила инструмент удаленного доступа Atera на хосты с меньшей активностью пользователей, где у них были привилегии администратора.

Кража данных стала возможной с помощью программы командной строки Rclone, которая может управлять файлами в нескольких облачных хранилищах. Conti использовала Rclone для загрузки данных в файлообменник MEGA.
 
Последнее редактирование:
Сверху