TTL OSINT

HeptaX: Несанкционированные RDP-соединения для операций кибершпионажа

В статье обсуждается кампания кибершпионажа, получившая название HeptaX, которая продолжается с 2023 года. Кампания начинается с вредоносного ZIP-файла, который, вероятно, распространяется с помощью фишинговых электронных писем и запускает команду PowerShell для загрузки и выполнения дополнительных полезных данных, включая сценарии PowerShell и файлы BAT, с удаленного сервера. Эти скрипты создают новую учетную запись пользователя с правами администратора и изменяют настройки служб терминалов (RDP), позволяя злоумышленникам легко получить доступ к удаленному рабочему столу в системе жертвы. Кампания последовательно использует PowerShell и пакетные сценарии для получения контроля над скомпрометированными системами и адаптирует свои кампании таким образом, чтобы они были ориентированы на самых разных жертв в разных отраслях. В статье также упоминается о наличии в сетевой инфраструктуре злоумышленников нежелательного приложения под названием "ChromePass", предназначенного для кражи сохраненных паролей из браузеров на базе Chromium.

Ссылка:https://cyble.com/blog/heptax-unauthorized-rdp-connections-for-cyberespionage-operations/

Выборочные показатели Compromise:

• https://cyble.com/blog/heptax-unauthorized-rdp-connections-for-cyberespionage-operations/
• cyble.com
• 6605178dbc4d84e789e435915e86a01c5735f34b7d18d626b2d8810456c4bc72
• 1d82927ab19db7e9f418fe6b83cf61187d19830b9a7f58072eedfd9bdf628dab
• http://157.173.104.153/up/scheduler-oncex

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал