TTL OSINT

26.08.2024 79 2 мин.

Тактическая эволюция Bling Libra: Группа исполнителей угроз, стоящая за программой-вымогателем ShinyHunters

В статье обсуждается тактика, используемая группой злоумышленников Blind Libra, которая стоит за программой-вымогателем Shiny Hunters. В этом конкретном инциденте Bling Libra получила первоначальный доступ к среде AWS организации, получив скомпрометированные учетные данные AWS из конфиденциального файла, доступного в Интернете. Затем они выполнили операции обнаружения, чтобы определить объем разрешений, которые содержались в скомпрометированных учетных данных. Прождав почти месяц, они использовали WinSCP для просмотра всех блоков S3 в учетной записи и удалили несколько из них. В сообщении о требовании выкупа, отправленном злоумышленником, указано, что они получили доступ к данным из блоков S3 и, возможно, извлекли их, прежде чем удалить их. Однако из-за отсутствия ведения журнала на уровне объекта и доступа к серверу S3 не существовало журналов, показывающих активность эксфильтрации. Последним шагом в атаке было создание новых групп данных S3 с вариантами названий "contact-shiny corp-tutanota-com-#" с возрастающими номерами, что, вероятно, было сделано для того, чтобы высмеять организацию по поводу атаки. Это подчеркивает важность надежных методов обеспечения кибербезопасности, включая включение протоколирования данных CloudTrail S3 и протоколирования доступа к серверу S3, для эффективной защиты облачных ресурсов и смягчения последствий киберугроз.< / p>

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: href="https://unit42.paloaltonetworks.com/shinyhunters-ransomware-extortion/">https://unit42.paloaltonetworks.com/shinyhunters-ransomware-extortion/

Примеры признаков компромисса:

• https://s3browser.com

Источник: TTL OSINT