Sau khi khai thác thành công các thiết bị VPN dễ bị tổn thương, một cửa hậu SSH được thiết lập để duy trì quyền truy cập liên tục và một loạt lệnh PowerShell được thực thi để tiến hành quét mạng và xác định danh sách các máy để mã hóa.
Khi ở trong mạng, các tác nhân CACTUS cố gắng liệt kê các tài khoản người dùng cục bộ và mạng bên cạnh các điểm cuối có thể truy cập trước khi tạo tài khoản người dùng mới và tận dụng các tập lệnh tùy chỉnh để tự động triển khai và kích hoạt bộ mã hóa ransomware thông qua các tác vụ theo lịch trình.
Các cuộc tấn công CACTUS cũng sử dụng Cobalt Strike và một công cụ tạo đường hầm có tên là Chisel để ra lệnh và kiểm soát, cùng với phần mềm quản lý và giám sát từ xa (RMM) như AnyDesk để đẩy các tệp đến máy chủ bị nhiễm.
Nó cũng thực hiện vô hiệu hóa và gỡ cài đặt các giải pháp bảo mật cũng như trích xuất thông tin đăng nhập từ trình duyệt web và Dịch vụ hệ thống con của LSASS (Bảo mật cục bộ) để tăng đặc quyền.
Việc leo thang đặc quyền được thực hiện thành công nhờ chuyển động ngang, lọc dữ liệu và triển khai phần mềm tống tiền, bước cuối cùng đạt được bằng tập lệnh PowerShell. CACTUS là việc sử dụng tập lệnh hàng loạt để trích xuất mã nhị phân ransomware bằng 7-Zip, sau đó xóa tệp lưu trữ .7z trước khi thực thi.
Về cơ bản, CACTUS tự mã hóa khiến cho nó khó bị phát hiện hơn và giúp nó trốn tránh các công cụ giám sát mạng và antivirus.
Toàn bộ chuỗi lây nhiễm kéo dài tối đa từ ba đến năm ngày bao gồm các bước: trinh sát (dò tìm) ban đầu, triển khai Cobalt Strike, sau đó được sử dụng để loại bỏ phần mềm tống tiền dựa trên .NET.
Các CVE liên quan đến VPN:
CVE-2023-1101 CVE-2023-20007 CVE-2023-20045 CVE-2023-20073 CVE-2023-20088 CVE-2023-20117 CVE-2023-20128 CVE-2023-22414 CVE-2023-22417 CVE-2023-22913 CVE-2023-22914 CVE-2023-22915 CVE-2023-22916 CVE-2023-22917 CVE-2023-22918 CVE-2023-24181 CVE-2023-27990 CVE-2023-27991 CVE-2023-27997 CVE-2023-28123 CVE-2023-28182 CVE-2023-28461 CVE-2023-28771 CVE-2023-28971 CVE-2023-29803 CVE-2023-30237 CVE-2023-30328 CVE-2023-32348 CVE-2023-33009 CVE-2023-33010 CVE-2023-33621
0 Nhận xét