Новости Невидимые воры: как APT41 скрывала следы своей активности почти год

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Иллюзия безопасности сохраняется ровно до того момента, пока не становится слишком поздно.


rwz7a2ksku5fpwyxg6tiisoc5m7pjp6z.jpg


Группа APT41 провела кибератаку на сектор азартных игр, действуя скрытно и адаптируя свои инструменты под ИБ-активность. Это киберпреступное объединение, также известное как Brass Typhoon, Earth Baku, Wicked Panda и Winnti, находилось в сетях клиента из вышеуказанной отрасли в течение почти девяти месяцев, собирая конфиденциальные данные и обходя системы безопасности.

Израильская компания Security Joes , участвовавшая в расследовании инцидента, сообщила, что атакующие извлекали сетевые конфигурации, пароли пользователей и данные из процесса LSASS. Основатель компании Идо Наор отметил: «Хакеры модифицировали инструменты на основе действий защитников, поддерживая доступ и незаметно изменяя стратегии».

В ходе атаки использовались методы, аналогичные тем, что наблюдаются в «Операции Crimson Palace», отслеживаемой компанией Sophos . Наор также подчеркнул, что вредоносная кампания, вероятно, имела финансовую мотивацию, несмотря на государственную поддержку.

APT41 применила сложный набор тактик для обхода защитных мер и создания скрытых каналов удалённого доступа. Одним из методов атаки стал DCSync — сбор хешей паролей для захвата учётных записей администратора и расширения доступа. Также использовались атаки Phantom DLL Hijacking и легитимные системные утилиты, такие как «wmic.exe».

Хотя точный способ проникновения в сеть остаётся неизвестным, вероятно, использовались фишинговые письма, поскольку уязвимости внешних приложений или воздействия на цепочку поставок не обнаружены. После проникновения атакующие сосредоточились на учётных записях администраторов и разработчиков для сохранения контроля над инфраструктурой.

Исследователи Security Joes выявили, что злоумышленники на время прекратили свою активность после обнаружения, но позже вернулись с обновлённым подходом. Они использовали обфусцированный JavaScript-код в файле XSL для выполнения вредоносных команд через утилиту WMIC.

Особенностью кампании стало фильтрование заражённых устройств по IP-адресам, содержащим подстроку «10.20.22», что указывает на целевое использование VPN -сетей. Этот подход позволял злоумышленникам поражать только интересующие их устройства.
 
Источник новости
www.securitylab.ru

Похожие темы