Расследование Positive Technologies: новая APT-группировка атакует госучреждения в разных странах мира

Спецпроекты

ru/inc/design2019/img/icons/caret-down.png" alt="">

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) выявили APT-группировку, получившую название Calypso. Группировка действует с 2016 г. и нацелена на государственные учреждения. На данный момент она действует на территории шести стран.

По данным экспертов, от действий группировки уже пострадали организации из Индии (34% жертв), Бразилии, Казахстана (по 18%), России, Таиланда (по 12%) и Турции (6%). Злоумышленники взламывали сетевой периметр и размещали на нем специальную программу, через которую получали доступ к внутренним сетям скомпрометированных организаций. Как показало расследование, злоумышленники продвигаются внутри сети либо с помощью эксплуатации уязвимости удаленного исполнения кода MS17-010, либо с помощью украденных учетных данных.

«Успеху атак этой группировки во многом способствует тот факт, что большинство утилит, применяемых ею для продвижения внутри сети, широко используются специалистами по всему миру для сетевого администрирования, — сказал ведущий специалист группы исследования киберугроз Денис Кувшинов. — Группировка использовала общедоступные утилиты и эксплойты, например, SysInternals, Mimikatz; EternalBlue, EternalRomance. При помощи распространенных эксплойтов преступники заражают компьютеры в локальной сети организации и похищают конфиденциальные данные».

По словам специалистов Positive Technologies, организация может предотвратить такие атаки при помощи специализированных систем глубокого анализа трафика, которые позволят вычислить подозрительную активность на начальной стадии проникновения злоумышленников в локальную сеть и не дадут им закрепиться в инфраструктуре компании. Кроме того, обнаружить атаки и противодействовать им помогут мониторинг событий ИБ, защита периметра и веб-приложений.

Согласно полученным данным, выявленная APT-группировка предположительно имеет азиатские корни и относится к числу китайскоговорящих. В одной из атак группировка использовала вредоносную программу PlugX, которую традиционно используют многие APT-группы китайского происхождения, а также троян Byeby, который применялся во вредоносной кампании SongXY в 2017 г. Кроме того, во время отдельных атак злоумышленники по ошибке раскрывали свои реальные IP-адреса, принадлежащие китайским провайдерам.

Таинственные злоумышленники рэкетируют финансовые компании по всему миру, притворяясь «русскими хакерами»

Россияне изобрели «гарантированное возмездие» за кражу документов

Разработчики шпионского ПО пригрозили судом журналистам, которые о них написали

Huawei поставит свои «самые высокопроизводительные процессоры» для исполнения «закона Яровой»

Как два наркобарона создали абсолютно непрослушиваемый смартфон и заработали миллионы на его продажах

Работник российской больницы нечаянно взломал сайт правительства

Сети 6G, как ожидают аналитики, начнут появляться уже через пять-десять лет.

Рынок средств управления мультиоблачными и гибридными моделями стремительно растет.

Рейтинги CNews

• Топ-100 ИКТ-тендеров для федеральных ведомств • Крупнейшие поставщики • ИКТ-бюджеты регионов

Рынок средств управления мультиоблачными и гибридными системами стремительно растет.

С конца 2018 г. во многих странах ведутся исследования в области связи мобильной связи следующего поколения.

Все права защищены © 1995 – 2019

Материалы, помеченные знаком ■ опубликованы на коммерческой основе