Инструменты Remcom и Impacket делают своё дело, значительно облегчая боковое перемещение хакеров по сетям жертв.

Компания Microsoft предупреждает о появлении новой версии вымогательского софта Sphynx, разрабатываемого и поддерживаемого группировкой BlackCat (они же ALPHV), одной из самых опасных вымогательских группировок в мире. Новая версия включает в себя сетевые инструменты Impacket и Remcom, что даёт злоумышленникам возможность быстро распространять шифровальщик по всей взломанной корпоративной сети.

Первоначально вымогатель Sphynx появился в феврале этого года, а затем был обновлён в апреле . Целью того обновления стала оптимизация обнаружения антивирусным ПО и полная переработка кода шифрования.

Вскоре после этого эксперты IBM Security X-Force провели детальный анализ нового шифровальщика и предупредили, что тот, фактически, превратился в полноценный инструмент для проведения кибератак.

Такой вывод был сделан после обнаружения в коде программы сетевой утилиты Impacket. Она часто используется злоумышленниками для повышения привилегий и бокового перемещения по взломанным сетям.

В недавней серии постов в своём блоге команда Microsoft Threat Intelligence проанализировала более свежую версию Sphynx. Исследователи подтверждают, что злоумышленники действительно используют встроенный в программу инструментарий Impacket, что позволяет им быстро перемещаться по сети жертвы и распространять шифровальщик на другие устройства.

Impacket описывается как набор классов Python с открытым исходным кодом для работы с сетевыми протоколами. Однако чаще этот инструментарий применяется пентестерами и киберпреступниками для бокового перемещения по сети после после получения первичного доступа. С помощью Impacket можно также получать повышенные привилегии в системе, выполнять перехват NTLM-авторизации, создавать удалённые оболочки и многое другое.

Помимо Impacket в последнюю версию Sphynx также был добавлен инструмент Remcom. Он представляет собой легковесную удалённую оболочку, которая используется для запуска команд на других компьютерах в сети жертвы.

Превращение шифровальщика BlackCat в полноценный постэксплуатационный инструмент позволяет злоумышленникам гораздо быстрее производить атаки и охватывать как можно больше устройств в сети организации-жертвы. Такие нововведения серьёзно осложняют задачу киберзащиты для специалистов безопасности.

Операторы BlackCat всегда считались одной из самых технологически продвинутых преступных группировок. Они постоянно развивают свои инструменты и тактику проведения атак. А недавнее обновление Sphynx — лишь очередное тому подтверждение.

Компаниям следует быть начеку и принимать меры для своевременного обнаружения потенциальной компрометации, а также оперативной блокировки распространения угрозы по внутренней сети.

Источник: securitylab