恐怖组织mx1r疑似针对企业的攻击行为

关键要点

据报告，恐怖组织mx1r被认为是Evil Corp的成员，怀疑其于四月针对一家未具名的劳动力管理公司进行攻击，并且使用的攻击基础设施在次月的思科Cisco勒索攻击中再次被利用，报道自The Hacker News。

根据eSentire的报告，mx1r利用被盗的VPN凭证获得了目标公司的初始访问权限，随后使用一些常见的工具进行横向移动和更广泛的网络访问。eSentire表示：“利用Cobalt Strike，攻击者能够获得初步立足点，并在初始访问和攻击者能够在受害者的VPN网络上注册自己的虚拟机之间，采取了迅速而直接的行动。”

技术描述Keberoasting攻击一种利用散列攻击以获取Kerberos认证信息的技术。远程桌面协议RDP允许远程访问计算机的技术，常被攻击者用于访问受害者网络。Cobalt Strike一种流行的渗透测试工具，攻击者常将其用于执行各种攻击。

研究人员观察到，mx1r所使用的技术和战术的相似性，包括Keberoasting攻击和远程桌面协议的使用，使他们将mx1r与UNC2165联系了起来。尽管此次攻击中使用的“HiveStrike”基础设施与Conti勒索软件的一个附属机构在Hive和Yanluowang勒索软件部署时使用的基础设施相似，研究人员认为UNC2165更可能与新成立的Conti子公司一起运作，而不是Conti将其基础设施借给Evil Corp。