Эксперты выявили классическую стратегию атаки и поделились ею со всеми организациями.
https://www.securitylab.ru/upload/ib...knwres3dw3.jpg
В совместном заявлении Федерального бюро расследований (ФБР) и Агентства по кибербезопасности и инфраструктурной безопасности США (CISA) была предоставлена новая информация об инструментах, используемых злоумышленниками, связанных с шифровальщиком AvosLocker, о котором ФБР уже делал отчёт пару недель назад.
Известно, что аффилиаты AvosLocker используют легитимное ПО и открытый исходный код для удалённого администрирования систем и похищения данных из корпоративных сетей.
ФБР зафиксировало использование настраиваемого PowerShell, веб-оболочек и пакетных скриптов для передвижения по сети, увеличения привилегий и отключения систем безопасности.
Среди инструментов в обновлённом сообщении ведомств упоминаются следующие:<ul><li>программы удалённого администрирования: Splashtop Streamer , Tactical RMM , PuTTy , AnyDesk , PDQ Deploy , Atera Agent ;</li>
</ul><ul><li>утилиты для туннелирования сети открытого источника: Ligolo , Chisel ;</li>
</ul><ul><li>фреймворки эмуляции атакующих: Cobalt Strike и Sliver ;</li>
</ul><ul><li>утилиты для сбора данных: LaZagne и Mimikatz ;</li>
</ul><ul><li>инструменты для эксфильтрации данных: FileZilla и Rclone .</li>
</ul>Также в арсенале хакеров были замечены Notepad++ , RDP Scanner , 7-zip и встроенные инструменты Windows, такие как PsExec и Nltest .
Другим общим компонентом атак является вредоносное ПО под названием «NetMonitor.exe». Этот компонент выдаёт себя за легитимный процесс и действует как обратный прокси, позволяя злоумышленникам подключаться к скомпрометированной сети. Специалисты из ФБР даже создали отдельное правило YARA для обнаружения NetMonitor в сети.
«Аффилиаты AvosLocker скомпрометировали организации во многих секторах критически важной инфраструктуры в Соединённых Штатах, затронув среды Windows , Linux и VMware ESXi », — сообщают эксперты из ФБР и CISA.
Ведомства рекомендуют организациям внедрять механизмы продвинутого контроля приложений, включая белые списки, а также предотвращать использование портативных версий несанкционированных утилит.
К числу лучших практик по защите от угроз также относятся ограничение использования протокола удалённых рабочих столов (RDP), внедрение многофакторной аутентификации (MFA) и применение принципа наименьших привилегий. Организациям следует отключить командную строку и поддержку скриптов PowerShell для пользователей, которым они не требуются в ходе работы.
Регулярное обновление программного обеспечения и кода, использование длинных паролей, хранение их в хэшированном формате, а также сегментирование сети — также остаются постоянными рекомендациями от экспертов по безопасности.
Текущее руководство по AvosLocker дополняет предыдущее, представленное ФБР ещё в марте прошлого года . В нём отмечалось, что в некоторых атаках программы-вымогателя AvosLocker использовались уязвимости на локальных серверах Microsoft Exchange.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.cisa.gov/sites/default/files/2023-10/aa23-284a-joint-csa-stopransomware-avoslocker-ransomware-update.pdf</pre>