Mayıs 2022 olayında Cisco’yu hedeflemek için kullanılan saldırı altyapısı, bir ay önce Nisan 2022’de isimsiz bir iş gücü yönetimi çözümleri holding şirketinin tehlikeye atılması girişimine karşı da kullanıldı.
Bulguları açıklayan siber güvenlik firması Sentire, izinsiz girişlerin UNC2165 adlı Evil Corp bağlı kümenin bir üyesi olduğu söylenen mx1r olarak bilinen bir suç aktörünün işi olabileceği olasılığını gündeme getirdi.
Kötü şöhretli Dridex bankacılık truva atının ataları olan Evil Corp, yıllar içinde, Aralık 2019’da ABD Hazinesi tarafından uygulanan yaptırımları atlatmak için bir dizi fidye yazılımı operasyonu yürütmek için çalışma şeklini iyileştirdi.
Şirketin BT ağına ilk erişim, çalınan Sanal Özel Ağ (VPN) kimlik bilgileri kullanılarak mümkün hale getirildi, ardından yanal hareket için kullanıma hazır araçlardan yararlanıldı ve kurbanın ortamına daha derin erişim sağlandı.
eSentire, “Kobalt Strike’ı kullanarak, saldırganlar bir ilk dayanak noktası elde edebildiler ve uygulamalı eylemler, ilk erişim anından saldırganın kendi Sanal Makinesini kurbanın VPN ağına kaydettirebildiği ana kadar hızlı ve hızlıydı.” kayıt edilmiş.
mx1r’in UNC2165 ile bağları, Active Directory hizmetine karşı bir Kerberoasting saldırısı düzenlemek ve şirketin ağı içinde yayılmak için Uzak Masaüstü Protokolü (RDP) erişimini kullanmak da dahil olmak üzere, UNC2165’inkiyle taktik ve tekniklerdeki örtüşmelerden kaynaklanmaktadır.
Bağlantılara rağmen, saldırıyı başlatmak için kullanılan Cobalt Strike “HiveStrike” altyapısının, daha önce Hive ve Yanluowang türlerini dağıttığı bilinen bir Conti fidye yazılımı iştirakininkiyle eşleştiği söyleniyor. Mayıs 2022, veri sızıntısı sitesine.
Ağ ekipmanı üreticisi, olayı, üç farklı topluluğa bağlantıları olan bir ilk erişim komisyoncusuna (IAB) bağladı: UNC2447, LAPSUS$ ve Yanluowang fidye yazılımı.
eSentire, “Conti’nin altyapısını Evil Corp’a ödünç vermesi pek olası görünmüyor – ama imkansız değil – dedi. UNC2165’in LockBit fidye yazılımına yakın zamanda yaptığı pivot ışığında şirket, “Evil Corp bağlı kuruluşunun/UNC2165’in Conti’nin yeni yan kuruluşlarından biriyle çalışıyor olması daha makul” dedi.
Ayrıca, ilk erişimin bir Evil Corp bağlı kuruluşu tarafından aracılık edilmesi, ancak nihayetinde Hive operatörlerine ve bağlı kuruluşlarına satılması da mümkündür” diye ekledi.