Новые атаки хакеров нацелены на захват корпоративных систем

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.819
Репутация
11.595
Реакции
61.727
RUB
50
ИБ-компания Arctic Wolf обнаружила серию атак хакерской группировки CACTUS, эксплуатирующую недавно обнаруженные уязвимости в платформе бизнес-аналитики Qlik Sense и проникающую в корпоративные системы.


В этих атаках, после успешной эксплуатации недостатков следует использование сервиса Qlik Sense Scheduler для установки дополнительных инструментов с целью получения удаленного управления.

q33lvdl357ee3kd44sjnepe0fjhve5wm.jpg


Хакеры, с высокой долей вероятности, используются 3 ключевые в данном случае уязвимости – туннелирования HTTP-запросов, обхода пути (Path Traversal) и уязвимость удаленного выполнения кода (Remote Code Execution, RCE) без проверки подлинности.

Также было выявлено, что киберпреступники удаляли ПО Sophos, меняли пароль учетной записи администратора и создавали RDP-туннель через Plink. Цепочки атак завершаются внедрением программы-вымогателя CACTUS, при этом злоумышленники также используют rclone для кражи данных.

Отличительная черта CACTUS – это использование шифрования для защиты двоичного файла программы-вымогателя. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip. Исходный ZIP-архив затем удаляется, а двоичный файл развертывается с определенным флагом, который позволяет ему выполняться. Эксперты полагают, что это делается для предотвращения обнаружения шифровальщика-вымогателя.

Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» уверена, что обнаружение очередной атаки на приложение, широко распространенное во многих компаниях, в очередной раз напомнит нам о том, что к защите информации нужно подходить комплексно.

«Сегодня важно выбирать решения, способные защитить инфраструктуру на разных уровнях. Так, например, необходимо пользоваться одним или несколькими решениями, позволяющими защитить как внешний, так и внутренний периметр.
Безусловно, на отечественном рынке есть решения, сочетающие в себе контроль доступа в сеть, контроль конфигураций АСО и ОС, контроль целостности ОС и гипервизоров, оптимизацию правил межсетевых экранов, контроль уязвимостей и построение векторов атак. Хорошая новость в том, что, как раз, на такие решения сейчас и наблюдается повышенный спрос, а значит многие компании уже приняли необходимые меры защиты».

 
  • Теги
    cactus киберпреступники хакерская группировка
  • Сверху Снизу