Федеральные агентства США описали тактику атаки недавно обнаруженной группировки.
CISA, ФБР и Министерство здравоохранения и социальных служб (HHS) предупредили, что группировка Daixin Team нацелена на американские предприятия в секторе здравоохранения и общественного здравоохранения (Healthcare and Public Health, HPH), с помощью программ-вымогателей.
Группа Daixin Team действует как минимум с июня 2022 года. Группа атакует сектор HPH, используя программы-вымогатели для кражи личных данных и информации о здоровье пациентов (PHI), чтобы под угрозой раскрытия украденных данных требовать выкуп. Группа Daixin Team получает первоначальный доступ к жертвам через VPN-серверы.
В ходе одной из кампаний злоумышленники, вероятно, воспользовались неисправленной уязвимостью в VPN-сервере организации. В другом случае группа использовала скомпрометированные учетные данные для доступа к устаревшему VPN-серверу. Злоумышленники получили учетные данные VPN с помощью фишинговых атак.
Получив доступ к целевому VPN-серверу, участники Daixin Team совершают боковое перемещение через Secure Shell (SSH) и протокол удаленного рабочего стола (RDP).
Предупреждение, опубликованное федеральными агентствами , включает индикаторы компрометации (IOC), а также тактику и методы MITRE ATT&CK. Для доставки программы-вымогателя киберпреступники повышают привилегии различными методами, такими как сброс учетных данных и передача хэша.
Согласно предупреждению, хакеры использовали привилегированные учетные записи, чтобы получить доступ к серверу VMware vCenter и сбросить пароли учетных записей для серверов ESXi в среде. Затем злоумышленники использовали SSH для подключения к доступным серверам ESXi и развертывания программ-вымогателей на этих серверах.
Согласно сторонним сообщениям, программа-вымогатель группировки основана на исходном коде Babuk Locker . Daixin Team также извлекла данные из систем жертв с помощью инструментов Rclone и Ngrok.
В предупреждении также указаны меры по смягчению последствий кибератак.
02-14-2025, 01:42 PM
Linear Mode
