Новости Silent Skimmer возвращается: как хакеры обходят защиту крупных компаний

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Старые бреши открывают дорогу новым утечкам данных.


tg3yhdvh22p9zmoubzjy6tyw25g1hv98.jpg


Исследователи из Unit 42 Для просмотра ссылки Войди или Зарегистрируйся активность кибергруппировки, связанной с кампанией Silent Skimmer, которая в конце 2023 года. В мае 2024 года злоумышленники скомпрометировали несколько веб-серверов, чтобы получить доступ к инфраструктуре крупной компании из Северной Америки. Эксперты связывают эти атаки с Silent Skimmer из-за совпадений в используемых инструментах и тактиках.

Впервые операция Silent Skimmer была замечена в сентябре 2023 года, когда хакеры занимались сбором данных с онлайн-платежей. С тех пор о них практически не было новостей. По данным Unit 42, теперь киберпреступники нацелены на компании, разрабатывающие и поддерживающие платёжные системы и шлюзы.

Для взлома серверов злоумышленники использовали уязвимости в популярной платформе Telerik UI. В частности, были использованы две уязвимости — Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся позволяющие удалённое выполнение кода и загрузку файлов. Обе уязвимости входят в каталог известных эксплуатируемых уязвимостей CISA.

После получения доступа хакеры развернули веб-оболочки и настроили постоянное подключение через туннелирование и обратные прокси, такие как Fuso и FRP. В дальнейшем для повышения привилегий использовался инструмент GodPotato с помощью PowerShell-скриптов.

Злоумышленники активно применяли смешанные сборки .NET и C++, чтобы затруднить анализ их программного кода. Это позволило скрывать вредоносный функционал и обходить защитные системы. Кроме того, для эксфильтрации данных использовались Python-скрипты, упакованные с помощью PyInstaller, что позволило маскировать их под легитимные исполняемые файлы.

Основной метод атаки — установка обратных оболочек и использование легитимных утилит Windows для выполнения вредоносных команд. Например, хакеры использовали «mshta.exe» для загрузки и выполнения вредоносных HTA-файлов, которые далее запускали PowerShell-скрипты.

Сходства в тактиках и используемых инструментах подтверждают связь этой активности с ранее описанной BlackBerry кампанией против платёжных систем. Однако теперь злоумышленники применяют новые методы сбора данных: вместо внедрения кода на страницы они используют Python-скрипты для подключения к базам данных и выгрузки данных в CSV.

Специалисты Palo Alto Networks рекомендуют оперативно обновлять уязвимые версии программ и использовать передовые средства защиты, такие как Cortex XDR и XSIAM, а также облачные сервисы, включая Advanced URL Filtering и Advanced DNS Security.
 
Источник новости
www.securitylab.ru

Похожие темы