概要
A fully operational TheGentlemen ransomware toolkit on an exposed server, revealing victim credentials, ngrok tokens, and a complete pre-encryption playbook.
発見の詳細
Hunt.ioのアナリストが、Proton66によってホストされている未認証HTTPサーバー(IP: 176.120.22[.]127)で公開ディレクトリを見つけました。このサーバーには約140MBのデータと18のサブディレクトリが含まれ、126以上のファイルが存在しました。
Proton66の関与
Proton66は過去にSuperBlackランサムウェア、WeaXor、およびXWormなどのオペレーションに関連していました。これらの事実から、Proton66がランサムウェア・アズ・ア・サービス(RaaS)エコシステムをサポートしていることが示されています。
サーバー上に公開された情報
公開ディレクトリは単なるマルウェアのダンプではなく、各フェーズのランサムウェア侵入に対応する構造化され、維持されているツールキットでした。
- 64-bit_new: 64ビットWindows用のコアツールを含むディレクトリ。
- PowerRun: 特権昇格用のサブフォルダ。
- MIMIMI: Mimikatzインフラストラクチャとログが含まれる。
最も重要な情報
MIMIMI/mimikatz/!logsディレクトリには、以前の侵害から得られたライブ資格情報を含むログファイルがありました。これらのログは、ツールキットが既に実際の被害者に対して使用されていたことを示しています。
Ngrokトークン
Hunt.ioは、設定ファイルとスクリプトでハードコードされた2つのngrok認証トークンを特定しました。これらのトークンを使用すると、防御者はオペレーターのリモートアクセスチャネルを追跡または中断することができます。
z1.batスクリプト
ツールキットの中心には35KBのバッチスクリプトであるz1.batがあります。このスクリプトは、セキュリティ設定を変更し、特権を昇格させるためのスクリプトを含んでいます。
組織へのアドバイス
組織はProton66インフラストラクチャやngrokベースのトンネルを探査し、Hunt.ioとCyberXTronのプレイブックで文書化された特定のサービスやレジストリ操作パターンを監視する必要があります。
インデックス・オブ・コムプロマイズ(IOC)
- IPアドレス: 176.120.22[.]127
- ポート: 80 (HTTP)
- ホスティングプロバイダー: Proton66 OOO (AS198953)
- 国: ロシア
- Ngrokトークン1: 2gkRUQNkJyaGkvuDziSq1RGIrwl_4bGyJtv6ez2Hk8Hrd5zvq
- Ngrokトークン2: 2ozoAve91tpILCwKCbRDNz7us8e_2qLk1aLKZoV4Y6TfrcfjK