Эксперты из компании eSentire установили, что инфраструктура, которая использовалась для атаки на компанию Cisco в мае 2022 года, месяцем ранее применялась для компрометации неназванной компании, занимающейся решениями для управления персоналом. Исследователи считают, что за этими инцидентами стоят злоумышленники, связанные с Evil Corp.
Напомню, что в августе 2022 года представители Cisco подтвердили, что в еще мае корпоративную сеть компании взломала вымогательская группировка Yanluowang. Позже злоумышленники пытались вымогать у Cisco деньги, в противном случае угрожая опубликовать украденные во время атаки данные в свободном доступе. Тогда в компании подчеркивали, что хакеры сумели похитить только неконфиденциальные данные из папки Box, связанной с взломанной учетной записью сотрудника.
Как теперь рассказывают аналитики eSentire, эта атака могла быть делом рук преступника, известного как mx1r. Считается, что он является членом одного из «филиалов» известной русскоязычной группировки Evil Corp (она же UNC2165).
Исследователи пишут, что исходно доступ к сети жертвы был получен благодаря использованию украденных учетных данных от VPN, а затем злоумышленники использовали готовые инструментов для бокового перемещения.
«С помощью Cobalt Strike злоумышленники смогли закрепиться в системе. Они действовали быстро с момента первоначального доступа и до момента, когда смогли зарегистрировать собственную виртуальную машину в VPN-сети жертвы», — рассказывают эксперты.
О связи mx1r с Evil Corp исследователи подозревают из-за совпадения ряда тактик злоумышленников. В том числе из-за организации kerberoasting-атаки на службу Active Directory и использования RDP для продвижения в сети компании.
При этом, несмотря на эти связи, инфраструктура HiveStrike, использованная для организации атаки, в целом соответствует инфраструктуре одного из «партнеров» группировки Conti, который ранее уже распространял вымогателей Hive и Yanluowang. Именно эти хакеры в итоге опубликовали украденные у Cisco данные на своем сайте в даркнете.
Сами представители Cisco писали, что атака, скорее всего, «проведена злоумышленником, который ранее являлся брокером первоначальных доступов и имел связи с киберпреступной группой UNC2447, группой Lapsus$ и операторами вымогателя Yanluowang».
Эти расхождения, похоже, ничуть не смущают аналитиков eSentire:
«Кажется маловероятным (но не невозможным), что Conti предоставляет свою инфраструктуру Evil Corp. Более правдоподобным выглядит то, что “партнер” Evil Corp/UNC2165 может работать с одной из новых дочерних компаний Conti. Также возможно, что первоначальный доступ к сети компании был предоставлен “партнером” Evil Corp, но в конечном итоге был продан операторам Hive и связанным с ними лицам».