ProIT: медіа для профі в IT
2 хв.

Microsoft: програма-вимагач Sphynx від BlackCat використовує Impacket та RemCom

author avatar ProIT NEWS

Корпорація Microsoft виявила нову версію програми-вимагача BlackCat, яка вводить у дію мережевий фреймворк Impacket і хакерський інструмент RemСom, обидва з яких дозволяють поширення через зламану мережу. Про це повідомляє BleepingComputer.

Ще навесні IBM Security X-Force глибоко дослідила новий шифрувальник BlackCat, попередивши, що шифратор перетворився на набір інструментів.

Це ґрунтувалося на рядках у виконуваному файлі, які вказували, що він містить Impacket, який використовувався для функцій після експлуатації, таких як віддалене виконання і скидання секретів із процесів.

Рядки пакетів, знайдені IBM X-Force. Джерело: IBM

У серії публікацій команда Microsoft Threat Intelligence повідомила, що вони проаналізували нову версію Sphynx (нову версію шифратора BlackCat/ALPHV, описану ще у квітні дослідником кібербезпеки VX-Underground) і виявили, що вона використовує фреймворк Impacket для бокового поширення у скомпрометованих мережах.

«У Microsoft помітили, що в останніх кампаніях використовується нова версія програми-вимагача BlackCat, – повідомили представники компанії. – Ця версія включає інструмент зв’язку з відкритим вихідним кодом Impacket, який загрозливі суб’єкти використовують для сприяння бічному переміщенню в цільових середовищах».

Impacket описується як колекція класів Python із відкритим кодом для роботи з мережевими протоколами. Однак він частіше використовується для бокового поширення в мережі, скидання облікових даних із процесів, виконання релейних атак NTLM тощо.

Impacket став дуже популярним серед зловмисників, які зламують пристрій у мережі.

За словами фахівців Microsoft, операція BlackCat використовує фреймворк Impacket для дублювання облікових даних і віддаленого виконання служби для розгортання шифрувальника у всій мережі.

Крім Impacket, шифрувальник вбудовує інструмент віддаленого зламу RemСom, який дає йому змогу віддалено виконувати команди на інших пристроях у мережі.

Як повідомляє BleepingComputer, у Microsoft бачили цей новий зашифрований код, який використовується філіалом BlackCat «Storm-0875», з липня 2023 року. Компанія ідентифікує цю нову версію як BlackCat 3.0.

BlackCat, також відомий як ALPHV, розпочав свою діяльність у листопаді 2021 року і вважається ребрендингом банди DarkSide/BlackMatter, відповідальної за атаку на Colonial Pipeline.

Нещодавно зловмисники створили API для витоку даних, що дає змогу легше поширювати вкрадені дані.

Завдяки тому, що шифрувальник BlackCat перетворився з дешифратора на повноцінний набір інструментів після експлуатації, він дозволяє афілійованим програмам-вимагачам швидше розгортати шифрування файлів у мережі.

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.