TTL OSINT

18.10.2024 122 2 мин.

Анализ деятельности группы Crypt Ghouls: продолжается расследование серии атак на Россию

В статье рассказывается о группе программ-вымогателей Crypt Ghouls, которая с декабря 2023 года атакует российские предприятия и государственные учреждения. Группа использует различные инструменты, такие как Mimikatz, XenAllPasswordPro и Localtonet, для сбора учетных данных для входа в систему и обеспечения доступа к системам жертвы. В качестве конечной полезной нагрузки они использовали программы-вымогатели, такие как LockBit 3.0 и Babuk. Группа часто получает первоначальный доступ через подрядчиков, которые подвергаются компрометации с помощью VPN-сервисов или незащищенных уязвимостей. Они используют NSSM и Localtonet для создания сервисов и управления ими, а также предоставляют зашифрованный туннель для подключения к хосту из внешней сети. Группа также использует WMI и RDP для навигации по сети и фильтрации данных. За ними наблюдали с помощью утилиты PingCastle для сетевой разведки и сетевого сканера SoftPerfect для выявления открытых портов и общих сетевых ресурсов. В статье также упоминается использование AnyDesk, Resocks и утилиты 7-Zip для удаленного доступа и шифрования данных. IP-адреса, используемые для удаленных подключений к AnyDesk и Localtonet, принадлежат подсети Surfshark VPN. Группа использует стороннюю загрузку библиотеки DLL для размещения вредоносного загрузчика dismcore.библиотека dll находится в той же папке, что и законное приложение для управления установщиком Windows, dism.exe. Они шифруют данные с помощью общедоступных версий популярных вредоносных программ LockBit 3.0 и Babuk.

Ссылка:https://securelist.com/crypt-ghouls-hacktivists-tools-overlap-analysis/114217/

Выборочные показатели Compromise:

• https://securelist.com/crypt-ghouls-hacktivists-tools-overlap-analysis/114217/
• securelist.com
• 56682344aa1dc0a0a5b0d26bd3a8dfe8ceb8772d6cd9e3f8cbd78ca78fe3c2ab
• 45.11.181.152
• dec147d7628d4e3479bc0ff31413621fb4b1b64a618469a9402a42816650f92b

Источник: TTL OSINT