ак подготовить ИБ-департаменты компании к форс-мажорам? Какие решения помогут удаленно работать сотрудникам вне офиса? Можно ли гарантированно обезопасить предприятие от потери данных? Читайте электронную книгу о правилах обеспечения непрерывности бизнеса и смотрите вебинар о том, как организовать удаленную работу сотрудников. Посмотреть вебинар × Как защитить данные в ЦОДах от новых типов атак?
Компании повышают гибкость ключевых рабочих процессов с помощью гибридных инфраструктур. Колокация и облака хорошо влияют на оперативность бизнеса, но защищать ИТ-среды при таком подходе стало куда сложнее. Стратегия четырех из пяти предприятий в этом направлении - провальна, а простои из-за действий киберпреступников в двухлетний период оборачиваются средним ущербом в $67,2 млн.
Можно ли интегрировать ИБ-решения во все части гибридной инфраструктуры? Как автоматизировать защиту и сделать ее более интеллектуальной? Какова доля вредоносного ПО в зашифрованном трафике и что с этим могут сделать межсетевые экраны NGFW? Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу о методах защиты распределенных гибридных ЦОДов прямо сейчас. --> × Можно ли полностью автоматизировать свои системы безопасности?Инновационные технологии породили новые бреши в работе ИБ-департаментов предприятий. Специализированные решения только усложняют инфраструктуру и приносят проблемы с поставщиками, лицензиями и не автоматизированными оповещениями, которые усыпляют бдительность сотрудников. Можно ли одновременно и адаптировать ИБ-процедуры к новым угрозам, и провести их оптимизацию, сократив ненужные траты?
Зачем нужно единое рабочее место SOC? Действительно ли эффективна автоматическая сортировка оповещений? Как реагировать на ИБ-инциденты еще быстрее? Зарегистрируйтесь, чтобы прямо сейчас бесплатно скачать электронную книгу об ускорении реагирования на инциденты и поддержке операций безопасности. Хакеры научились шпионить за военными и космическими компаниями через LinkedIn Безопасность Бизнес ИТ в госсекторе Маркет 19.06.2020, Пт, 10:45, Мск , Текст: Роман ГеоргиевКибергруппировка хакеров атакует военных и аэрокосмических поставщиков в Европе и на Ближнем Востоке. Помимо очевидных шпионских действий, злоумышленники пытаются также красть финансовые средства.
Нужна работа? Получите вредоносНеизвестного происхождения кибергруппировка атакует работников поставщиков военного и аэрокосмического оборудования в Европе и на Ближнем Востоке. В качестве основного инструмента атак на данный момент используется служба личных сообщений в сервисе LinkedIn: злоумышленники целенаправленно шлют фальшивые предложения работы от лица таких крупных корпораций как CollinsAerospace и GeneralDynamics.
По мнению экспертов ESET, эти атаки являются частью более крупной операции (условно названной OperationIn(ter)ception), причем, несмотря на очевидную «шпионскую» природу, как минимум часть усилий злоумышленников имеет финансовые мотивы.
К сообщениям, которые рассылаются жертвам, прилагаются архивные файлы (RAR), содержащие файл с расширением LNK. При его открытии жертве выводился невинный на первый взгляд PDF-файл с информацией о зарплатах. Одновременно, однако, запускалась утилита командной строки Windowsдля создания отложенной задачи — запуска удаленного скрипта XSL. Данный скрипт скачивал дополнительные вредоносные файлы, зашифрованные по алгоритм base64. Их расшифровка производилась с помощью встроенной утилиты WindowsCertutil, предназначенной для различных задач, связанных с проверкой сертификатов безопасности ПО. Затем использовалась еще одна утилита — rundll32 для загрузки и запуска вредоносной библиотеки, использующей команды PowerShell.
Хакеры используют LinkedIn для рассылок шпионских вредоносовПоскольку регистрация команд PowerShell отключена по умолчанию, экспертам не удалось выяснить, какие именно команды вредонос запускает. Окольными путями было установлено, что злоумышленники запрашивали сервер ActiveDirectory для получения списка сотрудников атакованной компании, в том числе системных администраторов, на чьи аккаунты затем производились брутфорс-атаки.
Прочие интересующие злоумышленников данные архивировались в другой файл RAR, после чего использовалась специально подготовленная версия легитимной утилиты dbxcli для загрузки данных на аккаунты DropBox, по-видимому контролируемые злоумышленниками.
Не забываем про деньги«Судя по должностям работников, которых атаковали через LinkedIn, операция In(ter)ception нацелена на получение технической и деловой информации», — отметили исследователи, заметив, однако, что не смогли установить точно, файлы каких именно форматов крадут злоумышленники.
Технический анализ атак показал, что операторы атак используют уникальное или, по крайней мере, незадокументированное прежде вредоносное ПО, которое еще и регулярно перекомпилируется. Использование легитимных утилит Windows также способствует незаметности действий злоумышленников.
Помимо кражи данных, те же хакеры активно и относительно успешно промышляли BEC-атаками (BusinessEmailCompromise — компрометация деловой переписки), что и позволило исследователям сделать вывод о наличии финансовой мотивации у операторов кампании. Впрочем, это не значит, что основным назначением атак не является кибершпионаж.
Установить принадлежность In(ter)ception экспертам ESET не удалось, однако ряд косвенных признаков заставил их заподозрить возможную связь с северокорейской APT-группировкой Lazarus. Среди таких признаков — выбор мишеней, методы противодействия обнаружению и анализу и среда разработки. Но утверждать наверняка, что это Lazarus или смежная группировка, эксперты не берутся.
«Атрибуция в подобных случаях — дело ненадежное и неблагодарное, — указывает Алексей Водясов, эксперт по информационной безопасности компании SECConsultServices. — Методы, применяемые сегодня одной группировкой, назавтра с еще большим успехом может применять совсем другая; киберкриминал отслеживает информацию о “коллегах” с не меньшим усердием, чем борцы с киберпреступностью. Что же касается целей, то военная и аэрокосмическая сферы — это всегда объекты повышенного интереса со стороны шпионов. Использование LinkedIn, конечно, повышает степень угрозы: пользователи обычно рассматривают данную сеть как более-менее безопасную среду. В любом случае, сообщение о предложении работы, которое содержит архив вместо обычного документа (или документ, требующий активировать какое-то дополнительное содержимое типа макросов) — это явный признак угрозы».
Короткая ссылка РаспечататьДругие материалы рубрики
В России появилось 10 новых системообразующих компаний в ИТ и телекоме. Полный список
Microsoft выпустила антивирус для Linux
В Сеть утекли персональные данные американских полицейских и сотрудников ФБР за последние 20 лет
В России запретили Crunchbase, знаменитый сайт о стартапах и венчурных инвестициях
Раскрыта личность загадочного русскоязычного хакера, заработавшего 100 миллионов на доступе к корпоративным сетям
Трамп лишает госфинансирования СПО для обхода цензуры. Red Hat, Tor, Wikipedia умоляют так не делать
Техника Обзор Dyson V11 Absolute: беспроводной пылесос с умной щеткойКак продлить жизнь стиральной машине: советы ZOOMГромче грома: самые мощные автономные Bluetooth-колонкиКухонная техника для здорового питания: выбор ZOOMПоказать еще Рейтинг CNews100: Крупнейшие ИТ-компании РоссииПо итогам 2019 г. выручка участников CNews100 выросла до рекордных ₽1566 млрд.