Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   На повестке дня: новый вымогатель атакует компании Африки и Азии (http://txgate.io:443/showthread.php?t=11629)

Artifact 05-15-2025 12:01 PM

Новое вредоносное ПО обладает богатым функционалом и подстраивается под каждую жертву.
https://www.securitylab.ru/upload/ib...ii64g8fi4d.jpg
Исследователи Trend Micro обнаружили новую программу-вымогатель Agenda, которая использовалась для атаки на одного из клиентов компании.
Согласно расследованию , злоумышленник использовал общедоступный сервер Citrix в качестве точки входа. Вероятно, хакер использовал действующую учетную запись для доступа к этому серверу и выполнения бокового перемещения внутри сети жертвы.
Новое семейство программ-вымогателей написано на Golang и использовалось для атак на предприятия в Азии и Африке. Название Agenda происходит от сообщений в дарквебе пользователя по имени Qilin, который предположительно, связан с распространителями вымогательского ПО.
https://www.securitylab.ru/upload/im...t-img(341).png
Сообщения оператора Agenda в дарквебе
Программа-вымогатель Agenda выполняет следующие действия:<ul><li>перезагружае� � систему в безопасном режиме;</li>
</ul><ul><li>останавливает многие серверные процессы и службы;</li>
</ul><ul><li>работает в нескольких режимах;</li>
</ul><ul><li>обладает функцией автозапуска.</li>
</ul>Собранные образцы представляли собой 64-разрядные файлы Windows PE (Portable Executable) и использовались для атак на организации здравоохранения и образования в Индонезии, Саудовской Аравии, Южной Африке и Таиланде.
Согласно отчету Trend Micro , каждый образец программы-вымогателя был настроен для предполагаемой жертвы. Образцы содержали утечку учетных записей, паролей клиентов и уникальных идентификаторов компаний, которые использовались в качестве расширений зашифрованных файлов. Кроме того, запрашиваемая сумма выкупа различается для каждой компании и варьируется от $50 000 до $800 000.
https://www.securitylab.ru/upload/im...t-img(342).png
Цепочка заражения Agenda
По словам экспертов, Agenda меняет пароль пользователя по умолчанию и позволяет автоматически входить в систему с новыми учетными данными, чтобы избежать обнаружения. Agenda перезагружает компьютер жертвы в безопасном режиме, а затем шифрует файлы при перезагрузке. Стоит отметить, что по этому методу работает группировка REvil .
Злоумышленник получил доступ к Active Directory через RDP, используя утекшие учетные записи, а затем использовал инструменты Nmap и Nping для сканирования сети. Они отправили запланированную задачу на машину домена групповой политики.
Agenda использует «безопасный режим», чтобы незаметно продолжить процедуру шифрования. Программа-вымогатель также использует локальные учетные записи для входа в качестве поддельных пользователей и выполнения двоичного кода программы-вымогателя, дополнительно шифруя другие машины при входе в систему. Вредоносное ПО также завершает работу многочисленных процессов и служб и обеспечивает сохранение путем внедрения DLL в svchost.exe.


All times are GMT. The time now is 07:45 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.