Китайская кибергруппа шпионит за российской оборонкой

Олеся Афанасьева 08 Августа 2022 - 13:23

Корпорации

Государство

Лаборатория Касперского

Фишинг

Кибершпионаж

Целевые атаки

Таргетированные атаки

...

Китайская кибергруппа шпионит за российской оборонкой

Китайские киберпреступники в начале года несколько раз атаковали государственные и оборонные учреждения России, стран Восточной Европы и Афганистана. Для шпионажа группировка использовала фишинговые письма.

Скорее всего, речь о хакерах из китайской TA428, рассказали в пресс-службе "Лаборатории Касперского”. Эксперты говорят минимум о 12 “жертвах”. В некоторых случаях атакующие полностью захватывали ИТ-инфраструктуру предприятий.

В основном они использовали новые модификации известных ранее вредоносных программ, предназначенных для скрытого удаленного управления зараженной системой, а также техники развития атаки и обхода средств информационной безопасности, отметили в компании.

Киберпреступники заходили с фишинговых писем, обращаясь к сотруднику по имени, знали детали его проектов в компании.

"К фишинговым письмам были прикреплены документы Microsoft Word с вредоносным кодом, эксплуатирующим уязвимость CVE-2017-11882. Она позволяет вредоносной программе без дополнительных действий со стороны пользователя получить управление зараженной системой, от пользователя даже не требуется включать выполнение макросов", — объясняют в Kaspersky.

Для развития атаки злоумышленники использовали утилиту Ladon с возможностями для сканирования сети, поиска и эксплуатации уязвимостей и кражи паролей.

На финальном этапе они захватывали контроллер домена и получали полный контроль над рабочими станциями и серверами организации. Далее хакеры приступали к поиску и загрузке файлов, содержащих конфиденциальные данные, на свои серверы, развернутые в разных странах. Эти же серверы использовались для управления вредоносной программой.

“Серия атак, которую мы обнаружили, не первая, по всей видимости, во вредоносной кампании. Поскольку злоумышленники достигают успеха, мы предполагаем, что такие атаки могут повториться и в будущем”, — уточняет старший эксперт Kaspersky ICS CERT Вячеслав Копейцев.

Эксперты предупреждают — целевой фишинг остается одной из самых актуальных угроз для промышленных предприятий и государственных учреждений.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 08 Декабря 2025 - 15:12

Корпорации Сетевая безопасность Security Vision

В Security Vision 5 внедрили новые механизмы контроля доступа к API

Платформа Security Vision 5 получила очередное обновление, в котором разработчики сосредоточились на улучшении безопасности, управляемости и прозрачности процессов. Релиз приносит доработки интерфейса, новые механизмы контроля доступа к API, расширенный аудит, улучшения в корреляции событий и инцидентах, а также ряд усовершенствований рабочих процессов и визуализации.

Обновление интерфейса затронуло дизайн редакторов виджетов и свойств объектов. Формы ввода и вывода стали аккуратнее, обновлены иконки групп.

За счёт большей визуальной единой логики повседневные сценарии работы стали проще и понятнее.

С точки зрения безопасности появились важные изменения. Теперь для API-токенов можно задать список разрешённых IP-адресов — это позволяет ограничить вызовы API доверенной инфраструктурой. Добавлен тип учётной записи API-only, предназначенный для интеграций без доступа к веб-интерфейсу. Кроме того, секреты — пароли коннекторов, токены и другие данные — теперь могут перешифровываться собственным мастер-паролем организации.

Расширился и объём данных в аудите. Теперь фиксируются остановка расписаний и коннекторов, изменение состояния рабочих процессов, а также создание отчётов — как вручную, так и по расписанию. Можно настроить уровень детализации логирования внутри запущенных процессов.

Корреляционные правила тоже получили обновления: при срабатывании система может автоматически создавать инцидент и формировать раздел с детальной информацией. У правил появилась критичность, а сработки теперь сопровождаются алертами для оценки важности произошедшего.

Рабочие процессы стали гибче. В действии «Вызов коннектора» можно динамически выбирать конфигурацию подключения, что позволяет использовать один блок для разных сред. В корпоративных чатах теперь поддерживаются сообщения от имени «системы», а массовые операции ускорены за счёт запуска одного процесса на несколько выбранных записей.

Для аналитики добавили круговой режим в виджете «Индикатор», а графики получили подписи осей, что улучшило читаемость отчётов. В администрировании теперь можно скрывать раздел «Настройки» для отдельных ролей, снижая риск случайных правок. Быстрые фильтры по умолчанию используют оператор «Входит в», что ускоряет работу со справочниками и множественным выбором.

Обновление получилось объёмным и адресует сразу несколько важных аспектов — от безопасности API до удобства пользователей.