G0rbWOW, what an sophisticated Attack.
https://cert.pl/uploads/docs/CERT_Polska_Energy_Sector_Incident_Report_2025.pdf
The only sophisticated thing was using Rubeus to create a Diamond-Ticket.
Lateral-Movement via PSExec and Impacket.
Altbot@g0rb Der folgende Dokumentabschnitt zeigt einen Absatz mit einem Abschnitt, der in blau hervorgehoben ist. Der Text besagt: „Ein weiteres Werkzeug, das der Angreifer für Netzwerkrecherche einsetzte, war der Port-Scanner Advanced Port Scanner und der Advanced IP Scanner. Beweise für die Ausführung dieses Programms und den Zugriff auf Dateien, die mit diesem verbunden sind, wurden auf mehreren Geräten innerhalb der Organisationseinrichtung festgestellt.“ Der hervorgehobene Bereich betont die Teilinformation, die den Port-Scanner-Tool und seine Entdeckung innerhalb der Organisationseinrichtung beschreibt.
―
Fast eineshalb nach dem Zugriff auf den Domain Controller, legte der Angreifer einen Base64-kodierten ZIP-Archiv auf den Server und dekodierte ihn mit der integrierten certutil-Funktion. Die verfügbaren Informationen zur Inhaltst magnetization konnten nicht ermittelt werden, jedoch leitete der EDR-System sofort einen wahrscheinlichkeitsgemäßen Credential-Theftversuch mit einer Speicher-Dump des LSASS-Prozesses ein. Kurze Zeit darauf wurde der Angreifer auch mit Rubeus verwendet, ein Tool, das für Angriffe gegen den Kerberos-Authentifizierungsprotokoll entwickelt wurde. Er nutzte es, um einen Diamond Ticket zu erstellen. Im zweiten Halbjahr Juli führte der Angreifer eine vollständige Auskunft über den gesamten Active Directory-Datensatz durch, indem er die Inhalte der nds.dit-Datei extrahierte.
Bereitgestellt von @altbot, privat und lokal generiert mit Qwen3-Vl:30b
🌱 Energieverbrauch: 0.780 Wh
@g0rb Eine Präsentation mit dem Titel „Angriffsvektor auf GCP“ (in orangefarbenem Text) präsentiert technische Sicherheitsdetails. Der Text besagt: „In jedem betroffenen Facility wurde ein FortiGate-Gerät vorhanden, das sowohl als VPN-Konzentrator als auch als Firewall diente. In jedem Fall war die VPN-Schnittstelle der Internetverbindung geöffnet und die Authentifizierung zu Konfigurationen ermöglicht worden, die in der Konfiguration definiert waren, ohne Multi-Faktor-Authentifizierung. Aufgrund der destruktiven Aktionen des Angreifers konnte keine vollständigen Protokolle aus den kompromittierten Geräten wiederhergestellt werden. Bei der Analyse wurde festgestellt, dass einige dieser Geräte in der Vergangenheit anfällig waren, in bestimmten Perioden für längere Zeiträume, einschließlich von Remote-Code-Ausführungs-Schwachstellen. Verfügbare Informationen deuten darauf hin, dass dies eine gängige Praxis in der Branche ist, um die gleichen Konten und Passwörter über mehrere Einrichtungen wiederzuverwenden. In diesem Szenario konnte die Kompromittierung eines einzelnen Kontos die Bedrohungslast für den Angreifer deutlich erhöhen, indem es ihm ermöglichte, andere Geräte mit den gleichen Anmeldeinformationen zu identifizieren und zu erreichen.“ Es wird auch darauf hingewiesen, dass Netzwerke oft Segregationen von VLAN-Unternetzen hatten, dass der Angreifer administrative Rechte hatte, um VPN-Zugangsdaten oder Konfigurationsänderungen zu erhalten, und alle Geräte nach einem Factory-Reset zurückgesetzt wurden, um die Wiederherstellung zu verhindern und Spuren zu verwischen.
Bereitgestellt von @altbot, privat und lokal generiert mit Qwen3-Vl:30b
🌱 Energieverbrauch: 0.519 Wh