ГлавнаябезопасностьUNC2465: Партнеры DarkSide поразили поставщика камер видеонаблюдения ...

UNC2465: партнеры DarkSide обрушились на поставщика камер видеонаблюдения с помощью атаки на цепочку поставок

Исследователи безопасности FireEye / Mandiant обнаружил, что дочерняя компания банды DarkSide вымогателей, известный по имени «UNC2465», осуществленный атака цепочки поставок против одного Продавец камер видеонаблюдения. UNC2465 считается ключевыми партнерами его банды DarkSide, наряду с другими бандами, получившими названия от Mandiant «UNC2628» и «UNC2659».

Злоумышленники взломали сайт производителя и внедрили вредоносный код в приложение Windows, настроенную версию приложения. Dahua SmartPSS Windows, которые компания предоставляет своим клиентам для управления их фидами безопасности.

Читайте также: Colonial Pipeline: большая часть выкупа, уплаченного DarkSide, была возвращена

UNC2465 DarkSide
UNC2465: партнеры DarkSide обрушились на поставщика камер видеонаблюдения с помощью атаки на цепочку поставок

В частности, Mandiant заявил следующее: "Вторжение, подробно описанное в этом посте, началось 18 мая 2021 года и произошло через несколько дней после закрытия бизнеса DarkSide. Хотя никаких программ-вымогателей обнаружено не было, Mandiant полагает, что банды, вторгшиеся в DarkSide, могут использовать несколько партнерских программ-вымогателей и могут переключаться между ними по своему желанию. В какой-то момент в мае 2021 года или ранее UNC2465, скорее всего, заразил трояном два установочных пакета программного обеспечения на сайте поставщика камеры видеонаблюдения.

Сайт был взломан впервые на 18 мая и хакеры оставались внутри компании до начала июня, когда следователи Mandiant обнаружили атаку цепочки поставок.

Зараженное приложение использовалось злоумышленниками для распространения своей версии. Бэкдор .NET SMOKEDHAM, который поддерживает кейлоггинг, создание снимков экрана и выполнение произвольных команд в зараженных системах.

Mandiant заметил, что троянизированный установщик загружается на рабочую станцию ​​Windows после того, как пользователь посетил законный сайт, ранее использовавшийся организацией-жертвой. Компания подтвердила, что пользователь намеревался загрузить, установить и использовать программное обеспечение SmartPSS. На следующем рисунке показано изображение страницы загрузки, используемой для программного обеспечения SmartPSS.

Поставщик камер видеонаблюдения - атака на цепочку поставок
UNC2465: партнеры DarkSide обрушились на поставщика камер видеонаблюдения с помощью атаки на цепочку поставок

Смотрите также: Бизнес вымогателей DarkSide закрыт - партнеры жалуются, что им не заплатили

Исследователи FireEye связали SMOKEDHAM задняя дверь с командой UNC2465, которая активна как минимум с апреля 2019 и считается партнером компании DarkSide RaaS.

В этой атаке, как только был разработан бэкдор, UNC2465 создал один NGROK туннель и двинулся боком к менее 24 часов. Пять дней спустя хакеры UNC2465 вернулись и использовали дополнительные инструменты, такие как кейлоггер и Cobalt Strike BEACON, и украли учетные данные, сбросив их. LSASS память.

Исследователи также заметили, что в этой атаке на цепочку поставок UNC2465 не распространял вымогатель DarkSide в качестве окончательной полезной нагрузки, однако, без исключения возможности того, что команда по борьбе с киберпреступностью была интегрирована в новую операцию RaaS.

UNC2465 Атака цепочки поставок DarkSide
UNC2465: партнеры DarkSide обрушились на поставщика камер видеонаблюдения с помощью атаки на цепочку поставок

Предложение: Манчестер подвергается «скоординированной глобальной атаке» хакеров

Эксперты рекомендуют сканирование внутренних сетей для приложения SmartPSS и выполните поиск индикаторы компрометации связанные с бэкдором SMOKEDHAM. Наконец, в отчете исследователей отмечается следующее:

"Переход UNC2465 от атак на проезжающих мимо посетителей сайта или фишинговых писем в этой атаке на цепочку поставок программного обеспечения показывает тревожное изменение, которое порождает новые проблемы. В то время как многие организации уделяют больше внимания защите периметра и двухфакторной аутентификации (2FA) после недавних публичных примеров повторного использования паролей или эксплуатации VPN-устройств, мониторинг конечных точек часто пропущенный или ограничился стандартным антивирусом. Интегрированная программа безопасности необходима для снижения риска со стороны опытных команд, таких как UNC2465, поскольку они продолжают адаптироваться к меняющейся среде безопасности ».

Источник информации: securityaffairs.co

Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.

ЖИВЫЕ НОВОСТИ