Организация2 также была скомпрометирована через эксплуатацию уязвимости Log4Shell в VMware Horizon. После получения доступа злоумышленники выгрузили файл hmsvc.exe на скомпрометированную систему. Который пытался установить соединение с сервером 104.223.34[.]198.
CISA и CGCYBER анализировали исполняемый файл, который маскировался под легитимную службу Microsoft Windows (Sysinternals LogingSessions software) [
T1036.004]. Файл был запущен с наивысшими правами NT AUTHORITY\SYSTEM. hmsvc.exe загружал дополнительные вредоносный 658_dump_64.exe, который предоставлял злоумышленникам целый ряд возможностей, включая запись нажатых клавиш [
T1056.001], загрузку дополнительных исполняемых файлов и графический интерфейс для мониторинга деятельности жертв.
Технически это выглядело так: вначале исполнялся hmsvc.exe, который создавал задачу в Sheduler: C:\Windwos\System32\Tasks\Local Session Updater, — благодаря данной задаче производился запуск вредонсного ПО каждый час. После чего создавались два файла с расширением *.tmp и рандомным именем в директории %user%\AppData\Local\Temp\ и производили попытку связи с С2 сервером 192.95.20[.]8 используя нестандартный порт 4443, весь трафик был зашифрован 128-битным ключом. Более подробная информация здесь
MAR-10382254-1.