TTL OSINT

Ice dID использует ScreenConnect и CSharp Streamer для развертывания программ-вымогателей ALPHA

В отчете DFID "Реальные вторжения со стороны реальных злоумышленников" подробно описывается 8-дневное вторжение в октябре 2023 года с использованием программы-вымогателя Ice dID. Атака началась с вредоносного электронного письма, в котором был загружен файл сценария Visual Basic (VBS), который инициировал цепочку заражения путем внедрения и выполнения библиотеки IcedID loader DLL. Затем загрузчик отключился и запустил другой Ice dvd DL, что привело к установке ScreenConnect на хост beachhead. Злоумышленник использовал Screen Connect для выполнения различных команд для разведки и установления связи с сервером командования и контроля Cobalt Strike. Новая полезная нагрузка, CSharp Streamer C2, была сброшена на плацдарм и использована для доступа к процессу LSASS для получения учетных данных. В результате вторжения ScreenConnect был установлен на нескольких контроллерах домена и файловом сервере, а также запущен двоичный код программы-вымогателя ALPHV и записка с требованием выкупа. Время работы программы-вымогателя (TTR) составило около 180 часов.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: https://thedfirreport.com/2024/06/10/icedid-brings-screenconnect-and-csharp-streamer-to-alphv-ransomware-deployment/

Примеры признаков компромисса:

• 99d8c3e7806d71a2b6b28be525c8e10e
• 77.105.140.181
• 642bf60f06bb043c4a74d0501597cf5e
• 26239fa16d0350b2224bfb07e37cbd84
• 2741c136b92aca1e890d2b67084c6867d3cbaa87

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал