One Article Review
| Source |  Contagio |
|---|---|
| Identifiant | 8603077 |
| Date de publication | 2024-10-28 22:56:39 (vue: 2024-10-29 03:06:06) |
| Titre | 2024-10-25 HEPTAX - Connexions RDP non autorisées.Nalicious Lnk.> PowerShell> échantillons de fichiers de batte 2024-10-25 HeptaX - Unauthorized RDP Connections. Nalicious LNK. > Powershell > Bat files Samples |
| Texte | 2024-10-25 Cyble: & nbsp; heptax: Connexions RDP non autorisées pour les opérations de cyberespionnage Résumé: L'attaque commence parUn fichier LNK malveillant livré dans un fichier zip, probablement distribué par e-mails de phishing, et semble cibler l'industrie des soins de santé. Lors de l'exécution, le fichier LNK initie une commande PowerShell qui télécharge plusieurs scripts et fichiers lots à partir d'unServeur distant pour établir la persistance et le contrôle du système de la victime. Le fichier LNK, une fois ouvert, déclenche des commandes PowerShell qui téléchargent des charges utiles supplémentaires à partir de hxxp: //157.173.104 [.] 153 . Ces scripts permettent à l'attaquant de créer un nouveau compte utilisateur avecPrivilèges administratifs et paramètres alter RDP, réduisant les exigences d'authentification pour un accès plus facile non autorisé. Un fichier de raccourci persistant (LNK) est créé dans le dossier Windows StartupPour maintenir l'accès. Le principal script PowerShell communique avec le serveur C2, construisant des URL avec un identifiant unique (UID) pour que la machine compromise récupére des commandes ou des charges utiles supplémentaires. Si UACest détecté comme faible ou handicapé, l'attaque procède à d'autres étapes qui abaissent les configurations de sécurité du système. Une charge utile secondaire, "ChromePass, "est introduit, ciblant les navigateurs à base de chrome pour récolter des informations d'identification stockées, en déchargeant le risque de comptes compromis. Les scripts configurent le système pour faciliter l'accès à distance, permettant des actions telles que l'exfiltration, la surveillance etInstallation de logiciels malveillants supplémentaires. Fichiers batch ultérieurs (par exemple, k1.bat , Scheduler-once.BAT ) Exécuter des commandes qui masquent les traces, suppriment les journaux et planifier les tâches déguisées en opérations système pour maintenir la persistance et l'évasion de la détection. Les étapes finales impliquent l'exécution d'un script PowerShell qui effectue une reconnaissance,collecte des données système étendues et les envoie encodées au serveur C2. Télécharger |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | 104 153 173 18e75bababa1176ca1b25f727c0362e4bb31ffc19c17e2cabb6519e6ef9d2fe5 1d82927ab19db7e9f418fe6b83cf61187d19830b9a7f58072eedfd9bdf628dab 2024 202409 4b127e7b83148bfbe56bd83e4b95b2a4fdb69e1c9fa4e0c021a3bfb7b02d8a16 5ff89db10969cba73d1f539b12dad42c60314e580ce43d7b57b46a1f915a6a2b 6605178dbc4d84e789e435915e86a01c5735f34b7d18d626b2d8810456c4bc72 999f521ac605427945035a6d0cd0a0847f4a79413a4a7b738309795fd21d3432 a8d577bf773f753dfb6b95a3ef307f8b4d9ae17bf86b95dcbb6b2fb638a629b9 access account accounts actions additional administrative alter around attack attacker authentication based bat bat batch been blog blogspot broken browsers care chrome chromepass chromium collects com command commands communicates compromised configurations configure connections constructing contagiodump contagiominidump control create created credentials cyberespionage cyble: heptax: data delivered desktop detected detection disabled disguised distributed download download download downloads dropped due easier email emails enable enabling encoded enhancing escalating especially establish evade exe execute execution exfiltration extensive facilitate fetch file files final find folder from further google harvest has have health healthcare heptax hide homes hosting hxxp://157 identifier improvement industry information initiates installation introduced involve just led likely link links linksover lnk lnk logs lower machine maintain malicious malware many monitoring multiple nalicious name need new note nursing older once opened operations operationssummary:the outcomes over password past patient payload payloads pdf performs persistence persistent phishing policies posts powershell primary privileges proceeds providers ps1 ps1 malware quality rdp reconnaissance reducing remote remove repo requirements resident risk samples satisfaction schedule scheduler scheme script scripts search secondary security seems sends server settings shortcut stages starts startup storage stored strategies stricter subsequent such support system target targeting tasks the contagio these through traces triggers uac uid unauthorized unique upon url urls user victim weak windows within years zip zip └── ├── |
| Tags | Malware Medical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.