TTL OSINT

Анализ случая атаки при установке SoftEther VPN на корейский ERP-сервер

Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил случай атаки, когда злоумышленник атаковал ERP-сервер корейской корпорации и установил VPN-сервер. Сначала злоумышленник скомпрометировал службу MS-SQL, а затем установил веб-оболочку для обеспечения контроля и постоянства. Наконец, они установили SoftEther VPN, чтобы использовать зараженную систему в качестве VPN-сервера. Это не такая уж редкая тактика для злоумышленников, поскольку они могут использовать прокси-серверы и VPN-инструменты как для законных, так и для вредоносных целей. SoftEther VPN, программа с открытым исходным кодом, была обнаружена в нескольких случаях атак, в том числе со стороны оператора GALLIUM и исполнителя угроз ToddyCat. Злоумышленник в данном случае использовал SoftEther VPN в рамках более масштабных усилий по созданию инфраструктуры CC (Command and Control) для повышения безопасности и конфиденциальности. Чтобы предотвратить подобные атаки, администраторы должны убедиться, что их серверы баз данных имеют надежные пароли, регулярно обновляются и защищены брандмауэрами.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: https://asec.ahnlab.com/en/66843/

Примеры индикаторов компромисса:

• http://45.77.44.127/vmtoolsd.exe
• http://167.99.75.170/tun02.bat
• ef340716a83879736e486f331d84a7c6
• https://bashupload.com/-nsU2/1.txt
• aac76af38bfd374e83aef1326a9ea8ad

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал