最初の侵害の後、攻撃者は Windows リモート管理 (WRM) シェル プラグインを使用してファイルをダウンロードしました。
伝えられるところによると、攻撃者は、後で実行するために、信頼されたバイナリの仮名で構成ファイルに配信された悪意のあるシェルコードも実行しました。
「これらの資格情報がどのように取得されたかは不明です」と関係者は述べた。
ただし、注目すべきことに、WRM 化されたシェル プラグインは、攻撃者が有効なネットワーク資格情報を持っており、環境内で以前に侵害されたホストからの水平方向の移動にそれを使用していたことを示しています。
コメント