Проукраинские хакеры воспользовались неустранимой уязвимостью Windows

Яков Шпунт 26 Августа 2024 - 14:37

...

Инцидент произошел еще в мае 2024 г. Его расследование показало, что, обойдя защиту, киберпреступники смогли зашифровать ряд корпоративных систем и частично разрушили серверы виртуализации, нанеся колоссальный ущерб компании.

Злоумышленники воспользовались недостатком систем Windows, связанным со взаимодействием с цифровыми подписями драйверов.

Злоумышленники проникли в сеть промышленной компании через взломанную учетную запись подрядчика. С хоста подрядчика по удаленному рабочему столу (RDP) они получили доступ к ряду систем. Но, прежде чем совершать деструктивные действия, хакеры смогли отключить защитные системы, чтобы их действия невозможно было обнаружить и заблокировать.

Злоумышленники воспользовались тем, что Microsoft сделала исключения при реализации запущенной в 2022 г политики обязательной цифровой подписи драйверов. Процедура обязательной проверки не работала для драйверов, выпущенных до определенной даты (29 июня 2015 г.). Нападавшие «состарили» сертификат одного из производителей электроники, что позволило обойти требования системы.

В процессе исследования атакованных серверов компании эксперты Solar 4RAYS обнаружили два образца вредоносной программы, один из которых искал в системе признаки присутствия защитного решения, а другой — отключал его командой из режима ядра. По итогам расследования все вредоносы были удалены из инфраструктуры, а компания получила рекомендации о дальнейших действиях по закрытию уязвимостей, которыми воспользовались хакеры.

«Подобная техника позволяет киберпреступникам отключить вообще любой софт (а не только антивирусное ПО) и беспрепятственно развить атаку в целевой инфраструктуре. Раньше подобные атаки практиковали в основном киберпреступные группировки из азиатского региона, но теперь мы видим ее активное распространение и среди других злоумышленников. Но если азиатские хакеры в основном собирали данные, не разрушая инфраструктуру, то злоумышленники из Восточной Европы часто нацелены на деструктив, что усугубляет угрозу. Для того, чтобы вовремя «отловить» подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений. Если с какого-то ПО не идет телеметрия — это очевидный повод его проверить. Кроме того, важно периодически проводить оценку компрометации. Такая проверка повышает шансы выявить атаку до наступления серьезных последствий», — сказал Иван Сюхин, руководитель группы расследований инцидентов Solar 4RAYS ГК «Солар».

Напомним, в прошлом году мы анализировали, как взлом сертификационного центра Microsoft поставили на поток.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 21 Января 2026 - 14:18

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Корпорации

Фишинг под LastPass: юзеров пугают техработами и крадут мастер-пароли

LastPass предупредил пользователей о новой активной фишинговой кампании, в рамках которой злоумышленники маскируются под сервис управления паролями и пытаются выманить мастер-пароли от хранилищ. По данным компании, атака началась примерно 19 января 2026 года.

Пользователям рассылают письма с тревожными формулировками — в них говорится о якобы предстоящих технических работах и настоятельно рекомендуется в течение 24 часов создать локальную резервную копию хранилища паролей.

Для пущей убедительности мошенники используют такие темы писем, как «LastPass Infrastructure Update: Secure Your Vault Now» или «Protect Your Passwords: Backup Your Vault (24-Hour Window)».

Сами письма ведут на фишинговую страницу, размещённую на инфраструктуре Amazon S3, откуда пользователя затем перенаправляют на домен, визуально напоминающий официальный сайт LastPass. Там жертву и пытаются убедить ввести мастер-пароль.

В LastPass подчёркивают: компания никогда и ни при каких обстоятельствах не запрашивает мастер-пароль и не требует срочных действий «под дедлайн». Сейчас сервис совместно со сторонними партнёрами работает над отключением вредоносной инфраструктуры и уже опубликовал адреса отправителей, с которых рассылались фишинговые письма. Среди них — support@sr22vegas[.]com, а также адреса с поддоменами lastpass[.]server*.

Как пояснили представители команды Threat Intelligence, Mitigation, and Escalation (TIME), вся кампания построена на классическом приёме социальной инженерии — создании ощущения срочности. Именно такие письма, по словам компании, чаще всего и оказываются самыми эффективными.

В LastPass поблагодарили пользователей за бдительность и призвали продолжать сообщать о подозрительных письмах. Это уже не первый подобный инцидент: несколько месяцев назад компания предупреждала о другой кампании, нацеленной на пользователей macOS, где вредоносные версии LastPass распространялись через поддельные репозитории на GitHub.

Вывод традиционный, но по-прежнему актуальный: если письмо требует срочно «спасти данные» и просит ввести мастер-пароль — это почти наверняка мошенники.

В прошлом году злоумышленники тоже пытались атаковать пользователей LastPass: последние начали получать письма с уведомлением о «запросе доступа» к их хранилищу паролей — якобы в рамках процедуры наследования. На деле это была фишинговая атака группировки CryptoChameleon.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »