Kaspersky вже ідентифікував атаки на військово-промислові організації та державні установи у Східній Європі та Афганістані на початку серпня. Використане шкідливе програмне забезпечення схоже на програмне забезпечення китайськомовної групи APT.
Kaspersky ICS CERT виявив серію цілеспрямованих атак на промислові підприємства, дослідницькі інститути, державні установи, міністерства та відомства в кількох країнах Східної Європи, включаючи Росію, Україну та Білорусь, а також в Афганістані. Актори APT змогли взяти під контроль всю ІТ-інфраструктуру жертв і займатися промисловим шпигунством.
Напади на військові підприємства та організації
У січні 2022 року фахівці Касперського виявили кілька передових атак на військові компанії та громадські організації, зокрема промислові підприємства, конструкторські бюро, науково-дослідні інститути, державні установи, міністерства та відомства, спрямованих на викрадення конфіденційної інформації та отримання контролю над ІТ-системами. Шкідливе програмне забезпечення, яке використовують зловмисники, схоже на програмне забезпечення TA428 APT, китайськомовної групи APT.
Цільові зловмисники проникають у корпоративні мережі за допомогою ретельно розроблених фішингових електронних листів, деякі з яких містять інформацію, специфічну для цільової організації, яка не була загальнодоступною на момент надсилання електронного листа. Фішингові електронні листи містили документ Microsoft Word зі зловмисним кодом для використання вразливості, яка дозволяє виконувати довільний код без додаткових дій. Уразливість існує в застарілих версіях Microsoft Equation Editor, компонента Microsoft Office.
Використання шести різних бекдорів
Зловмисники одночасно використовували шість різних бекдорів для встановлення додаткових каналів зв’язку із зараженими системами на випадок, якщо одна зі шкідливих програм буде виявлена та видалена рішенням безпеки. Ці бекдори забезпечують широку функціональність для контролю заражених систем і збору конфіденційних даних. Останнім етапом атаки було захоплення контролера домену та отримання повного контролю над усіма робочими станціями та серверами компанії. В одному випадку зловмисники навіть змогли захопити центр управління рішеннями кібербезпеки. Отримавши права адміністратора домену та доступ до Active Directory, зловмисники здійснили так звану атаку «золотого квитка», щоб видавати себе за облікові записи користувачів будь-якої організації та шукати документи та інші файли, що містять конфіденційні дані атакованої організації. Зловмисники розмістили викрадені дані на серверах у різних країнах.
Золотий квиток Атаки
«Атаки Golden Ticket використовують протокол автентифікації за замовчуванням, який використовується з моменту появи Windows 2000, — пояснює В’ячеслав Копєйцев, експерт із безпеки ICS CERT Kaspersky. «Підробляючи квитки Kerberos Ticket Granting Tickets (TGT) у корпоративній мережі, зловмисники можуть отримати необмежений доступ до будь-якої служби, що належить мережі. Тому просто змінити паролі чи заблокувати зламані облікові записи недостатньо. Наша рекомендація: уважно перевіряйте всі підозрілі дії та використовуйте надійні рішення безпеки».
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/