Цифровая криминалистика в городской среде: анализ кибератак

Атаки на городскую инфраструктуру включают в себя загрузку вредоносных файлов, подмену контента на рекламных экранах и компрометацию систем бронирования. Для обнаружения и анализа этих инцидентов применяются решения класса SIEM и NAD. Атаки часто начинаются с загрузки вредоносных файлов через Powershell скрипты, которые могут быть запущены после открытия зараженных документов с макросами.
Цифровая криминалистика в городской среде: анализ кибератак
Изображение носит иллюстративный характер

Например, при анализе загрузки файла wtf.exe, выявили, что его загрузка была инициирована командой Powershell, скачивающей файл по URI. При этом, для анализа контента на рекламном экране, после поиска файлов с расширениями видео, было установлено, что атака проводилась с использованием уязвимости Log4Shell, что помогло выявить заголовок PrivateAT. Реверс-шелл устанавливал соединение с атакуемым узлом с определенного IP-адреса и порта.

В другом сценарии, сотрудник логистической компании открыл вредоносное письмо, что привело к заражению его компьютера. Атака началась с открытия файла.doc, который привел к загрузке PowerShell-скрипта rev.ps1. Этот скрипт, в свою очередь, был загружен по URI, имеющему MD5 хэш. Важно заметить, что для загрузки злоумышленник использовал загруженный ранее файл book_withcob.xls. После того, как скрипт отработал, он переименовался в qwe.ps1 и был помещен в системную папку.

В одном из последних сценариев злоумышленник, получив доступ к системе бронирования билетов railbook.hv-logistics.stf, вошел в систему через URI Login.php?f=login. И, наконец, выявили, что при утечке данных, атакующие использовали Cobalt Strike. Атакованным активом оказался comp-5117.city.stf. Анализ атак показал использование PowerShell, скачивание и запуск скриптов, внедрение вредоносных файлов и изменение параметров в системах.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка