itkvariat

    Новая APT-группировка атакует госучреждения в разных странах мира




    Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) выявили APT-группировку, получившую название Calypso. Группировка действует с 2016 года и нацелена на государственные учреждения. На данный момент она действует на территории шести стран.

    По данным экспертов, от действий группировки уже пострадали организации из Индии (34% жертв), Бразилии, Казахстана (по 18%), России, Таиланда (по 12%) и Турции (6%). Злоумышленники взламывали сетевой периметр и размещали на нем специальную программу, через которую получали доступ к внутренним сетям скомпрометированных организаций. Как показало расследование, злоумышленники продвигаются внутри сети либо с помощью эксплуатации уязвимости удаленного исполнения кода MS17-010, либо с помощью украденных учетных данных.

    «Успеху атак этой группировки во многом способствует тот факт, что большинство утилит, применяемых ею для продвижения внутри сети, широко используются специалистами по всему миру для сетевого администрирования, — рассказал ведущий специалист группы исследования киберугроз Денис Кувшинов. — Группировка использовала общедоступные утилиты и эксплойты, например SysInternals[1]Mimikatz[2]EternalBlue, EternalRomance[3]. При помощи распространенных эксплойтов преступники заражают компьютеры в локальной сети организации и похищают конфиденциальные данные».
    По словам специалистов Positive Technologies, организация может предотвратить такие атаки при помощи специализированных систем глубокого анализа трафика, которые позволят вычислить подозрительную активность на начальной стадии проникновения злоумышленников в локальную сеть и не дадут им закрепиться в инфраструктуре компании. Кроме того, обнаружить атаки и противодействовать им помогут мониторинг событий ИБ, защита периметра и веб-приложений.
    Согласно полученным данным, выявленная APT-группировка предположительно имеет азиатские корни и относится к числу китайскоговорящих. В одной из атак группировка использовала вредоносную программу PlugX, которую традиционно используют многие APT-группы китайского происхождения, а также троян Byeby, который применялся во вредоносной кампании SongXY в 2017 году. Кроме того, во время отдельных атак злоумышленники по ошибке раскрывали свои реальные IP-адреса, принадлежащие китайским провайдерам.


    [1] Легитимный набор утилит для администрирования Windows.
    [2] Утилита для получения учетных данных пользователя, в том числе пароля.
    [3] Эксплойты для уязвимости MS17-010.



    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

    Поделитесь этой новостью с друзьями!

    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  

    И еще на эту тему...
  • 10 APT-группировок атакуют кредитно-финансовые организации
  • Троян, записывающий действия пользователей, атаковал десятки промышленных и финансовых организаций
  • Эксперты PT Expert Security Center предсказывают атаки кибергруппировки RTM
  • ФинЦЕРТ при участии Positive Technologies выпустил отчет об атаках: киберпреступники могут преодолеть периметр 75% банков
  • Cоциальная инженерия используется в каждой третьей атаке с хищениями персональных данных
  • Итоги второго дня PHDays 8: Games Over
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
журнал Генеральный директор


Что бывало...

Проверьте скорость вашего интернета!


Самое популярное
    
Наши друзья
Vivaldi

Студия 3D-печати PRO3D

Майки с картинками

Самоклейкин

Смарт

Hoster


Новая APT-группировка атакует госучреждения в разных странах мира




Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) выявили APT-группировку, получившую название Calypso. Группировка действует с 2016 года и нацелена на государственные учреждения. На данный момент она действует на территории шести стран.

По данным экспертов, от действий группировки уже пострадали организации из Индии (34% жертв), Бразилии, Казахстана (по 18%), России, Таиланда (по 12%) и Турции (6%). Злоумышленники взламывали сетевой периметр и размещали на нем специальную программу, через которую получали доступ к внутренним сетям скомпрометированных организаций. Как показало расследование, злоумышленники продвигаются внутри сети либо с помощью эксплуатации уязвимости удаленного исполнения кода MS17-010, либо с помощью украденных учетных данных.

«Успеху атак этой группировки во многом способствует тот факт, что большинство утилит, применяемых ею для продвижения внутри сети, широко используются специалистами по всему миру для сетевого администрирования, — рассказал ведущий специалист группы исследования киберугроз Денис Кувшинов. — Группировка использовала общедоступные утилиты и эксплойты, например SysInternals[1]Mimikatz[2]EternalBlue, EternalRomance[3]. При помощи распространенных эксплойтов преступники заражают компьютеры в локальной сети организации и похищают конфиденциальные данные».
По словам специалистов Positive Technologies, организация может предотвратить такие атаки при помощи специализированных систем глубокого анализа трафика, которые позволят вычислить подозрительную активность на начальной стадии проникновения злоумышленников в локальную сеть и не дадут им закрепиться в инфраструктуре компании. Кроме того, обнаружить атаки и противодействовать им помогут мониторинг событий ИБ, защита периметра и веб-приложений.
Согласно полученным данным, выявленная APT-группировка предположительно имеет азиатские корни и относится к числу китайскоговорящих. В одной из атак группировка использовала вредоносную программу PlugX, которую традиционно используют многие APT-группы китайского происхождения, а также троян Byeby, который применялся во вредоносной кампании SongXY в 2017 году. Кроме того, во время отдельных атак злоумышленники по ошибке раскрывали свои реальные IP-адреса, принадлежащие китайским провайдерам.


[1] Легитимный набор утилит для администрирования Windows.
[2] Утилита для получения учетных данных пользователя, в том числе пароля.
[3] Эксплойты для уязвимости MS17-010.



Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

Поделитесь этой новостью с друзьями!

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  

И еще на эту тему...
  • 10 APT-группировок атакуют кредитно-финансовые организации
  • Троян, записывающий действия пользователей, атаковал десятки промышленных и финансовых организаций
  • Эксперты PT Expert Security Center предсказывают атаки кибергруппировки RTM
  • ФинЦЕРТ при участии Positive Technologies выпустил отчет об атаках: киберпреступники могут преодолеть периметр 75% банков
  • Cоциальная инженерия используется в каждой третьей атаке с хищениями персональных данных
  • Итоги второго дня PHDays 8: Games Over
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат Powered by © 1996-2019