Хакеры использовали в ходе атак инструменты постэксплуатации, такие как ADFind, NetScan, SoftPerfect и LaZagne.
https://www.securitylab.ru/upload/ib...ed58ff71ba.png
Русскоязычная вымогательская группировка предположительно атаковала неназванную организацию в сфере азартных игр в Европе и Центральной Америке. По словам исследователей из израильской фирмы Security Joes, преступники использовали в ходе атаки специальные инструменты, разработанные другими APT-группировками, такими как иранская MuddyWater.
Хакеры использовали украденные учетные данные для получения несанкционированного доступа к сети жертвы, что в конечном итоге привело к установке полезной нагрузки Cobalt Strike на скомпрометированных системах.
Атака произошла в феврале 2022 года, когда злоумышленники использовали инструменты постэксплуатации, такие как ADFind, NetScan, SoftPerfect и LaZagne. Также был использован исполняемый файл AccountRestore для подбора учетных данных администратора и форк инструмента обратного туннелирования под названием Ligolo. Модифицированный вариант инструмента Ligolo под названием Sockbot, представляет собой бинарный файл на языке Golang, предназначенный для незаметного и безопасного раскрытия внутренних активов из скомпрометированной сети.
Эксперты связали атаку с русскоязычной группировкой из-за совпадения артефактов с распространенными наборами инструментов для программ-вымогателей. Кроме того, один из исполняемых файлов (AccountRestore) содержит встроенные ссылки на русском языке.