شركة تابعة ساخطة تكشف عن تقنيات هجوم Conti Ransomware

استهدفت المجموعة بنشاط صناعة الرعاية الصحية وشبكات المستجيبين الأوائل عندما كان COVID في ذروته. يتم الحصول على المعلومات التالية من معالج Conti ransomware tor.

استنادًا إلى النشاط السابق للمجموعة، فإنها تستهدف قطاع التجزئة والتصنيع على نطاق واسع، مع التركيز بشكل كبير على الكيانات الأمريكية.

تم تصميم الفدية للضحايا بناءً على ثروتهم الصافية، وقد وصلت الفدية الأخيرة التي طلبتها المجموعة إلى 25 مليون دولار أمريكي.

البلد

الضحايا

الباهاما

1

كندا

14

الولايات المتحدة الأمريكية

128

المكسيك

1

المملكة المتحدة

11

ألمانيا

4

إيطاليا

2

الهند

1

اليابان

1

نيوزيلندا

1

أستراليا

1

تتمتع Conti بأسلوب مميز جدًا في تنفيذ الحملات، حيث يتم سرد ملفات تعريف TTP أدناه:

تقنيات وإجراءات التكتيكات

يتم تعيين TTPs التالية لـ MITRE ATT&CK:

• استغلال التطبيق الذي يواجه الجمهور T1190
• الاستغلال للوصول إلى بيانات الاعتماد T1212
• اكتشاف تكوين شبكة النظام T1016
• اكتشاف النظام عن بعد T1018
• مسح خدمة الشبكة T1046
• حسابات صالحة: حسابات المجال T1078.002
• الخدمات عن بعد: مشاركات مسؤول SMB/Windows T1021.002
• أجهزة إدارة ويندوز T1047
• عملية الحقن: حقن مكتبة الارتباط الديناميكي T1055/001
• التسلل عبر خدمة الويب: الترشيح إلى التخزين السحابي T1567.002
• البيانات المشفرة للتأثير T1486

منافذ الشبكات المستخدمة من قبل Conti

يتم استخدام المنافذ التالية لدعم الاتصال البعيد 80 و443 و8080 و8443
هناك حالات محددة استخدمت فيها الجهات الفاعلة المنفذ 53 للمثابرة

التحليل

قام الممثل بمشاركة البنية التحتية الداخلية المستخدمة لاختراق الشبكات المستهدفة، ويتم استخدام Cobalt Strike Framework للقيادة والتحكم. يقوم خادم C2 بتشغيل تطبيق لإرسال أوامر نظام التشغيل وتنفيذها على النظام المخترق، وأخيرًا جلب مخرجات الأوامر لترحيلها مرة أخرى إلى C2 وبالتالي إنشاء تحكم كامل في نظام/شبكة الكمبيوتر المخترقة.

كشف الممثل عن خوادم Cobalt Strike Team التي تعد مكونًا مهمًا للغاية في البنية التحتية للمهاجمين.

ينشأ الهجوم من Cobalt Strike Aggressor/TeamServer، وبالتالي فإن تسريب عناوين IP يضر بأمان تشغيل المهاجم حيث يمكن إدراج عناوين IP هذه في القائمة السوداء بواسطة جدران حماية شبكة الشركة وأنظمة نقطة النهاية الأمنية الأخرى. ومع ذلك، يستخدم معظم المهاجمين أجهزة إعادة توجيه IP أو الوكلاء في منتصف شبكة الشركة المستهدفة وخوادم فريقهم لأمن العمليات وحماية أصولهم الداخلية.

مجموعات برامج الفدية والدليل النشط

مجموعات برامج الفدية هي مجرمي الإنترنت الذين لديهم دوافع مالية وتستهدف الشركات لابتزاز الأموال. تعتبر المؤسسات الكبيرة في العالم مستهلكًا لـ Microsoft Active Directory لإدارة مستخدميها وموارد الشبكة. Active Directory هي خدمة دليل تقوم بتعيين المستخدمين/الأشخاص وأصول الشبكة مثل الطابعات/أجهزة الكمبيوتر في مجموعات شبكة منطقية للإدارة والتنظيم الفعالين. وهو يتبع هيكلًا هرميًا حيث يكون المجال عبارة عن تجميع منطقي للموارد عبر الشبكة مع عقدة تسمى وحدة تحكم المجال للتحكم في الأصول في المجال المحدد. يُطلق على المستخدم المسؤول عن وحدة تحكم المجال اسم مسؤول المجال. يمكن أن تمتلك المؤسسة نطاقات متعددة جنبًا إلى جنب مع مسؤولي المجال المطابقين.

يقوم مشغلو برامج الفدية باختراق خادم وحدة التحكم بالمجال والتحكم سرًا في حساب مسؤول المجال لتنفيذ أنشطة ضارة في المجال. فيما يلي بعض التكتيكات التي استخدمها الخصم في الحملة:

— الوصول الأولي

• RDP: الإجبار الغاشم
• نشر منارة كوبالت سترايك
• عدم وجود ثغرة أمنية في تسجيل الدخول
• الهندسة الاجتماعية عبر وثائق المكتب المسلح.

— تصعيد الامتيازات والحركة الجانبية

• حل وسط عبر أداة Mimikatz
• تقنية كيربيروستينغ

— تصعيد الامتيازات

• هجمات التذكرة الذهبية

- القفل واستخراج البيانات

• نشر برنامج الخزانة بعد تعطيل AV
• برامج الأرشيف
• ريكلون

اقرأ المزيد ظهور وسطاء الوصول الأولي: الجهات الفاعلة في مجال التهديد التي تسهل الهجمات الإلكترونية ومجموعات APT وحملات برامج الفدية

كتيبات وأدوات هجومية

شارك الممثل مستودعًا للأدوات والأدلة، التي تستخدمها المجموعة، على منصة مشاركة الملفات. استنادًا إلى تحليلنا، فإن الأدوات المشتركة ليست ذات طبيعة حصرية ولكنها أدوات تعداد Active Directory القياسية.

ملخص الأدوات

• أدلة Cobalt Strike الأساسية التي تغطي الاستخدام ونشر الحمولة
• القطع الأثرية ذات الصلة بـ Cobalt Strike للتهرب والحركة الجانبية.
• تطبيق عميل RMM المستخدم للإدارة عن بُعد.
• دليل لإلقاء أسرار النوافذ عبر LSASS باستخدام أداة MIMIKATZ.
• أوامر تعداد النطاق/المستخدم لنظام Windows على مستوى المجال لتخطيط الهجمات وتنفيذها.
• تعداد النسخ الاحتياطية لوحدة التخزين؛ النسخة الاحتياطية لوحدة التخزين هي آلية نسخ احتياطي في Windows.
• برنامج PowerUpSQL Powershell لاستهداف خوادم SQL الخاصة بالمؤسسات.
  العديد من الماسحات الضوئية للشبكة والوكلاء
• نفق إلى RDP باستخدام NGORK
• أداة Rclone لنقل الملفات.
• تقنيات Kerberoasting؛ إنها تقنية محددة تستخدم لكسر حشيش kerberos باستخدام القوة الغاشمة. بمجرد اختراق الهاش، سيتم اختراق حساب المستخدم المرتبط
• تُستخدم أداة Router Scan لإجراء الاستطلاع ضد أجهزة التوجيه واستخدام تقنيات القوة الغاشمة للحصول على وصول غير مصرح به.
• ملف كائن منارة كوبالت سترايك من زيرولوجون CVE-2020-1472 يمكن أن يسيء استخدام الأنظمة المعرضة لـ Zerologon.
• ملفات البرنامج النصي للحصول على أداة Armitage والمزيد من النشر على البنية التحتية المستهدفة.
• برنامج نصي لتثبيت أدوات لينكس المختلفة مثل tmux [معدد الإرسال الطرفي لتعدد المهام] والبرامج النصية لإعداد نظام Kali linux القياسي.
• قائمة بقنوات Telegram المختلفة للمناقشات المتعلقة بالأمان.
• تعليمات حول سياسة AD lockout المطبقة على حسابات المستخدمين.
• تعليمات لتعزيز أمان التشغيل باستخدام بوابات Whonix.
• إرشادات حول كيفية إساءة استخدام Shadow Protect SPX المثبتة على الأنظمة المستهدفة لاختراق النسخ الاحتياطية ومخازن البيانات الأخرى
• كتيبات لمتجهات تصعيد الامتيازات القياسية.
• ورقة الغش المشتركة لاستغلال الإعلانات
• دليل لتعطيل Windows defender عبر سطر الأوامر
• دليل لتشغيل الخزانة على إصدارات Linux مع معايير التشغيل.
• دليل لإنشاء قواعد جدار الحماية الجديدة عبر سطر الأوامر على Windows.
• أوراق الغش في Powershell لأداء المهام المختلفة على مستوى النظام.
• دليل لحالات الاستخدام المختلفة لأداة أوامر واجهة إدارة Windows لتنظيم الهجمات على أجهزة Windows.
• تعليمات حول استخدام PuTTY و FileZilla لتجميع الملفات والحفر النفقي.
• تعليمات حول استخدام تطبيق AnyDesk لأغراض التحكم عن بعد.

كلمات المرور الشائعة المستخدمة والتي تتوافق مع سياسة كلمة مرور AD:

• كلمة المرور 1
• هيلو 123
• كلمة المرور
• مرحبًا بكم 1
• بانكو @1
• تدريب
• كلمة المرور 123
• الوظيفة 12345
• ينبوع
• الطعام 1234
• يونيو 2020
• يوليو 2020
• 20 أغسطس
• أغسطس 2020
• الصيف 20
• صيف 2020
• يونيو 2020!
• يوليو 2020!
• 20 أغسطس!
• أغسطس 2020!
• الصيف 20!
• صيف 2020!

التوصيات

يمكن إدراج عناوين IP لخادم Team الخاص بـ Intervism في القائمة السوداء:

الملكية الفكرية

البلد

مزود خدمة الإنترنت

رماد

162.244.80.235

الولايات المتحدة الأمريكية

شركة داتا روم

19624

86.93.88.165

هولندا

KPN BV

1136

185.141.63.120

بلغاريا

ريد كلاستر المحدودة

44901

82.118.21.1

بولندا

شركة آي تي إل إل

204957

امنع الوصول الأولي بأي ثمن. فيما يلي عوامل التخفيف الأساسية:

• قم بتحديث الأصول التي تواجه الإنترنت على الشبكة وتصحيحها.
• على دراية بأساليب الهندسة الاجتماعية التي تستخدمها الجهات الفاعلة في مجال التهديد عبر البريد.
• الفصل السليم وعزل الشبكات الداخلية.
• قم بنشر أنظمة NGFW/IDPS/XDR/EDR التي تم تكوينها بشكل صحيح لمراقبة الأنشطة الضارة وإحباطها.
• خط أنابيب مناسب لمراقبة النظام للحصول على قدرة تسجيل أفضل تتضمن Powershell و JScript وما إلى ذلك.
• خط أنابيب معلومات التهديدات الفعال والكفء للبقاء على اطلاع دائم حول TTPs العدائية
• خطط النسخ الاحتياطي الفعالة والزائدة عن الحاجة لمقاومة الفشل.
• استخدم المصادقة متعددة العوامل كلما أمكن ذلك.
• قم بتعطيل المنافذ والخدمات غير المستخدمة.
• فرض سياسة كلمة مرور فعالة تعالج تعقيد كلمة المرور وتدوير كلمة المرور