Pesquisadoras da Sophos Identificaram um Ataque Sofistorado Em Que Criminosos Exploraram O Velociraptor, Uma Ferresa Legíima de Forense Digital e Responsta A Incides (DFIR), Para Estabelecero Um Canal Oculto de Aceso Remoto. Uma representação de uma evolução no abuso de ferriamentos de monitoramento remoto (rmm), permitindo reduzir o use de malware personalizado e difificultact a detecção.
Leia Tamboma
Kimsuky Espionou Embnaixadas na Coreia do Sul Com Xenorat
Institua Nova Estratégia Nacional de Cibersegurança
O Ataque Começou com o uso do utilitário nativo msiexec Faça Windows para Baixar e Instalar Um Pacote Malicioso do Velociraptor Hospedado Em um Domínio No Cloudflare Workers. O Mesmo Ambiente Foi Uso USADO para Armazenar Outros componentes, como um Ferrenta de Tunelamento do CloudFlare EO Software RadMin. Após A Instalação, o Velociraptor Foi Configurado Para se Comunicar Com um Servidor de Comando e Controle (C2).
NA sequencia, OS Invasores Executaram UM Comando PowerShell de ASCado para Obter O Código do Visual Studio (code.exe) Faça Mesmo Domínio, Configurondo-o como servInco do Windows com uma Funcialidada de Tunelento Habilitada. A ESSA TÉCNICA CRIOU UM CANAL PERSISTENTE E CRIPRAGRAFAADO COM UM INFROESTRUTURA C2, Explorando o Uso Legíimo do Código para Colaboraça Remota, O que Dificultou A Detectão por Controla Tradicionais.
Uma investigação mostra que os atacantes pretendiam evoluir o ataca para um estágio de ransomware. O Time de Responsta Ctu Orientou A Vícima A ISOLAR RAPIDAMENTO O HOST COMPROMETIDO, O QUE IMPEDIU A MOVIMEIRAÇÃO Lateral eo Avanço Para uma crpriprafia de Dadas. Este é o dos primeiros registros de abuso de Ferreiosas do contexto, Marcando um Desvio Das Campanhas Tradicionais Com Rmm.
Especialistas Recomendam Monitorar Implasiações Não autorizadas de Ferreios de Responsta A incidentes, e Edrs avançados para identificar processos suspeitos, imposas listas de applicativos permitir a auditura e o thefão de Busco de Busco de Busco de Busco de Busco de Busco de Busco de Busco de Busco DevCa DevCoenercha DevCo DevCoenercA de Busco DevCa DevCa DevCo DevOnEnenenenenenetiet O theCoToScA de Busco de Busco de Busco de Busco de Busco de Busco de Busco DevCa O incidentate reforça que o uso Individo de softwares Legítimos Deve ser Tratoado Como Evento de Alto Risco E Pode Indictar fases preliminares de ransomware.
