#MERCURY #Log4j Targeting #Israel Organizations
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
در جریان پیدا شدن آسیب پذیری log4j تیم های تهاجمی در سراسر دنیا شروع به پایش محصولاتی کردند که از کتابخونه Log 4 Java که محصول Apache هست، پیدا کنند...
یکی از موارد معروفی که در اثر استفاده از این کتابخانه مورد حمله قرار گرفت محصولات VMware بود، اما در تهاجمی که اخیرا بر روی ارگان های دولتی کشور جعلی اسرائیل رخ داد، محصولی مورد حمله قرار گرفت با نام SysAid که بر بستر های این کشور مورد استفاده قرار میگرفته و دارای کتابخونه آسیب پذیری Log4j بوده...
اما نکات جالبی راجب خود #APT اتفاق افتاده. اول اینکه بعد از ایجاد دسترسی بواسطه آسیب پذیری، مهاجمان اقدام به اجرای کد مبتنی بر Webshell کردند و بواسطه cmd.exe و net.exe فرمان هایی رو برای ایجاد یک کاربر در localgroup انجام دادند.
مورد بعدی که جالبه، استفاده از Mimikatz برای دزدیدن Credentials بوده برای Lateral Movement و دسترسی به DC و SQL Server، همچنین به وسیله سرویسی در خود سیستم عامل که با نام vpnui.exe موجوده، یک دسترسی Remote Desktop Management بواسطه محصولی تجاری زده شده با نام eHorus !
@Unk9vvN
#Ransomware #Moneybird Targeted #Israel
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Unk9vvN
تیم پاسخ به حادثه شرکت Check Point مقاله ای انتشار داده است مبنی بر حمله مجدد باج افزاری با نام Moneybird به ارگان ها و شرکت های اسرائیلی برای اخاذی مالی.
رفتار تکنیکی تاکتیکی حمله طبق معمول بر پایه یک ایجاد دسترسی بر پایه یک آسیب پذیری، و زدن تونل RDP مبتنی بر Web Shell که منجر به دانلود و اجرای باج افزار میشود.
اما دو نکته قابل توجه این حمله، یک استفاده مکرر از ابزار های تجاری رایگان است که مکانیزم های دفاعی به آنها واکنشی نشان نمی دهند، دیگری توسعه باج افزار با رویکردی جدید به زبان ++C که به عنوان یک Encryptor عمل خواهد کرد.
باج افزار پارامتر های CLI دریافت میکند که این موضوع موجب میشود مهاجم بصورت شخصی سازی شده توابع باج افزار را پیکربندی نماید، این پیکربندی میلی ثانیه خواب بودن قبل از start باج افزار است.
تعداد Threads های چک و Ciphering که با بررسی تعداد هسته های پردازنده تعیین خواهد شد، تعیین بررسی لیست Extension ها، برای رمز کردن و دیگر موارد که در تصویر مهندسی معکوس فایل مشخص شده است.
@Unk9vvN