सुरक्षा प्रदाता क्वाड्रंट ब्लैक बस्ता हमले का लाइव अनुसरण करने और तकनीकी पृष्ठभूमि का मूल्यांकन करने में कामयाब रहा। विशेषज्ञों को ब्लैक बस्ता की प्रक्रियाओं की जानकारी नहीं है, लेकिन उन्होंने उन खामियों का भी खुलासा किया है, जिन पर अब नजर रखी जा सकती है। यह ब्लैक बस्ता की पूरी संरचना के लिए एक बड़ा झटका है, जिसे अब इस तरह से इस्तेमाल नहीं किया जा सकता है।
क्वाड्रंट ने हाल ही में ब्लैक बस्ता रैंसमवेयर समूह द्वारा उद्यम-व्यापी समझौते में एक ग्राहक की सहायता की। यह समूह एक "रैंसमवेयर एज़ ए सर्विस" (रास) संगठन है जो मध्यम से बड़े उद्यमों को लक्षित करने के लिए जाना जाता है।
ब्लैक बस्ता लाइव हमले का मूल्यांकन किया
कंपनी अब समझौते के पाठ्यक्रम का एक सिंहावलोकन प्रदान करती है और एक सफल फ़िशिंग अभियान से लेकर रैनसमवेयर विस्फोट के प्रयास तक देखे गए मैलवेयर और तकनीकों का तकनीकी विश्लेषण। हालांकि खतरे वाले अभिनेता के कार्यों के कुछ सटीक विवरण अभी भी अज्ञात हैं, एकत्र किए गए सबूतों ने अब कई कारनामों के बारे में निष्कर्ष निकालने की अनुमति दी है। जबकि ग्राहक डेटा संशोधित किया गया है, दुर्भावनापूर्ण डोमेन नाम सहित समझौता के संकेतक संशोधित नहीं किए गए हैं।
पूरा हमला एक मान्यता प्राप्त फ़िशिंग ईमेल से शुरू हुआ। प्रारंभिक फ़िशिंग ईमेल के बाद, धमकी देने वाले ने विभिन्न डोमेन से समान खाता नामों का उपयोग करके क्लाइंट को अतिरिक्त फ़िशिंग ईमेल भेजे। "क़ाकबोट" के साथ, ई-मेल में एक परिष्कृत ट्रोजन शामिल था जिसने कनेक्शन के प्रयास शुरू किए। सुरीकाटा इंजन ने इन कनेक्शन प्रयासों का पता लगाया, लेकिन पैकेट निरीक्षण इंजन द्वारा कोई चेतावनी नहीं दी गई।
रूसी C2 डोमेन से सीधे संपर्क
क्वाड्रंट सुरिकाटा डिटेक्शन इंजन चलाने वाले ऑन-प्रिमाइसेस पैकेट इंस्पेक्शन इंजन (PIE) उपकरणों का उपयोग करके इनबाउंड और आउटबाउंड एंटरप्राइज़ ट्रैफ़िक की निगरानी करता है। अंत में, मैलवेयर एक सक्रिय C2 सर्वर खोजने में सक्षम था। पहले संक्रमण और समझौता किए गए होस्ट और C2 डोमेन के बीच पहले सफल संचार के बीच लगभग 35 मिनट बीत गए।
दूसरे चरण का पेलोड, बाद में ब्रूट रैटल पैठ परीक्षण ढांचे के रूप में पाया गया, फिर रूस से एक आईपी के कनेक्शन के माध्यम से डाउनलोड किया गया। इसके बाद विभिन्न चरणों के माध्यम से प्रशासक की पहुंच हासिल की गई। उसके बाद, थ्रेट एक्टर ने परिवेश में नए व्यवस्थापक खाते भी जोड़े। अंत में, ESXi सर्वरों को एन्क्रिप्ट किया गया था, लेकिन हमले को नियंत्रित किया गया और बड़ी क्षति से बचा गया।
आक्रामक हमले के दौरान ब्लैक बस्ता के "बैकएंड ऑपरेशंस" के बारे में प्राप्त सभी अंतर्दृष्टि क्वाड्रंट द्वारा एक विशेषज्ञ कहानी में तैयार की गई हैं। ब्लैक बस्ता हमले पर सभी तकनीकी डेटा के साथ पृष्ठभूमि को प्रकाशित किया गया और अन्य विशेषज्ञों के लिए पारदर्शी बनाया गया। इसका मतलब यह है कि अन्य सुरक्षा दलों को भी ब्लैक बस्ता के तकनीकी मंच के बारे में अच्छी जानकारी है और वे हमलों को आसानी से पहचान सकते हैं और सावधानी बरत सकते हैं।
लाल/सेल
Quadrantsec.com पर अधिक