Mayıs 2022 olayında Cisco’yu hedeflemek için kullanılan saldırı altyapısı, bir ay önce Nisan 2022’de isimsiz bir iş gücü yönetimi çözümleri holding şirketinin tehlikeye atılması girişimine karşı da kullanıldı.
Siber güvenlik firması eSentire, ifşa Bulgular, izinsiz girişlerin, UNC2165 adlı Evil Corp bağlı kümenin bir üyesi olduğu söylenen mx1r olarak bilinen bir suç aktörünün işi olabileceği ihtimalini artırdı.
Kötü şöhretli Dridex bankacılık truva atının ataları olan Evil Corp, yıllar içinde, Aralık 2019’da ABD Hazinesi tarafından uygulanan yaptırımları atlatmak için bir dizi fidye yazılımı operasyonu yürütmek için çalışma şeklini iyileştirdi.
Şirketin BT ağına ilk erişim, çalınan Sanal Özel Ağ (VPN) kimlik bilgileri kullanılarak mümkün hale getirildi, ardından yanal hareket için kullanıma hazır araçlardan yararlanıldı ve kurbanın ortamına daha derin erişim sağlandı.
eSentire, “Kobalt Strike’ı kullanarak, saldırganlar bir ilk dayanak noktası elde edebildiler ve uygulamalı eylemler, ilk erişim anından saldırganın kendi Sanal Makinesini kurbanın VPN ağına kaydettirebildiği ana kadar hızlı ve hızlıydı.” kayıt edilmiş.
mx1r’nin UNC2165 ile olan bağları, UNC2165’in taktik ve tekniklerindeki örtüşmelerden kaynaklanmaktadır. Kerberoasting saldırısı Active Directory hizmetine ve şirketin ağı içinde yayılmak için Uzak Masaüstü Protokolü (RDP) erişiminin kullanımına karşı.
Bununla birlikte, saldırıyı başlatmak için kullanılan Cobalt Strike “HiveStrike” altyapısının, daha önce dağıttığı bilinen bir Conti fidye yazılımı iştirakininkiyle eşleştiği söyleniyor. Kovan ve Yanluowang Sonuncusu, Mayıs 2022’nin sonlarında Cisco ihlalinden çalınan dosyaları veri sızıntısı sitesine gönderdi.
Ağ ekipmanı üreticisi, bu ayın başlarında olayı, üç farklı topluluğa bağlantıları olan bir ilk erişim komisyoncusuna (IAB) bağladı: UNC2447, LAPSUS$ ve Yanluowang fidye yazılımı. Yorum için ulaşıldığında, Cisco Talos, bu analizin ötesinde paylaşacak bir şeyi olmadığını söyledi.
eSentire, “Conti’nin altyapısını Evil Corp’a ödünç vermesi pek olası görünmüyor – ama imkansız değil – dedi. UNC2165’in LockBit fidye yazılımına yakın zamanda yaptığı pivot ışığında şirket, “Evil Corp bağlı kuruluşunun/UNC2165’in Conti’nin yeni yan kuruluşlarından biriyle çalışıyor olması daha makul” dedi.
Ayrıca, ilk erişimin bir Evil Corp bağlı kuruluşu tarafından aracılık edilmesi, ancak nihayetinde Hive operatörlerine ve bağlı kuruluşlarına satılması da mümkündür” diye ekledi.