ЛК объединяет усилия с Интерполом для вывода из строя ботнета Simda

ЛК объединяет усилия с Интерполом для вывода из строя ботнета Simda

В рамках операции, координируемой Глобальным комплексом инноваций Интерпола в Сингапуре, группа ведущих IT-компаний, включая «Лабораторию Касперского», Microsoft и Trend Micro, в сотрудничестве с международными правоохранительными органами осуществили вывод из строя ботнета Simda – компьютерной сети, состоящей из сотен тысяч зараженных компьютеров по всему миру.

В результате согласованных действий участников операции 9 апреля были взяты под контроль 10 командных серверов в Голландии, а также ряд серверов в России, США, Люксембурге и Польше. Операция проводилась при участии Национального центра по борьбе с преступлениями в сфере высоких технологий Нидерландов, Федерального бюро расследований США, полиции Люксембурга, а также Управления «К» МВД России и Национального центрального бюро Интерпола в Москве. Ожидается, что операция нанесет серьезный удар по функционированию ботнета, повлечет увеличение затрат и рисков для киберпреступников и предотвратит дальнейшее заражение компьютеров пользователей.

Simda является зловредом, используемым для распространения незаконного ПО и различных видов вредоносных программ, включая те, что обладают возможностью воровать финансовые данные. Злоумышленники продают доступ к зараженным машинам другим киберпреступникам, которые затем устанавливают на них дополнительные программы. Simda распространяется через множество веб-сайтов, скомпрометированных злоумышленниками. Когда пользователь заходит на эти страницы, вредоносный код незаметно инициирует скачивание содержимого сайта с эксплойтами и заражает компьютер, если на нем не применяются обновления. В общей сложности заражению подверглись 770 тысяч компьютеров в 190 странах мира, преимущественно в США, Великобритании, России, Канаде и Турции.

Активный в течение многих лет зловред Simda постоянно совершенствовался, чтобы иметь возможность использовать почти любую уязвимость, новые и более сложные для детектирования версии создавались и распространялись каждые несколько часов. На сегодняшний день в антивирусных базах «Лаборатории Касперского» содержится более 260 тысяч исполняемых файлов, относящихся к разным версиям Simda.

В настоящий момент в рамках расследования продолжается сбор информации и сведений для идентификации стоящих за ботнетом Simda злоумышленников, которые в дополнение к совершению киберпреступлений также организовали целый бизнес по сбору денег за предоставление доступа к зараженным компьютерам.

«Успех этой операции подчеркивает значимость и необходимость сотрудничества государственных и международных правоохранительных органов с коммерческими компаниями для противодействия глобальной киберпреступности, – сказал Санджай Вирмани, директор центра Интерпола по борьбе с киберпреступностью. – Эта операция нанесла сокрушительный удар по ботнету Simda. Интерпол продолжит оказывать содействие странам-участникам в защите граждан от киберпреступлений и выявлении новых угроз».

«Ботнеты являются географически распределенными сетями, и обычно их обезвреживание –очень сложная задача. Именно поэтому совместное усилие коммерческих компаний и государственных служб является важнейшим условием успеха – каждая сторона вносит свой вклад в общее дело. В данном случае задача «Лаборатории Касперского» была в предоставлении технического анализа вредоносной программы, сборе статистической информации с помощью Kaspersky Security Network и рекомендациях по стратегии обезвреживания серверов», – добавил Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского», командированный в настоящий момент в Интерпол.

В результате операции командные серверы, с помощью которых киберпреступники управляли зараженными машинами, были обезврежены. Однако важно отметить, что вредоносные программы по-прежнему присутствуют на компьютерах жертв. С целью помочь пользователям «Лаборатория Касперского» запустила специальный сайт CheckIP. Его посетители могут проверить, был ли их сетевой адрес замечен на серверах Simda. Список этих адресов был получен в результате обезвреживания серверной инфраструктуры ботнета. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Golden dMSA: доступ к защищенным ресурсам AD через взлом контроллера домена

Специалисты Semperis обнаружили серьезный изъян проекта Managed Service Accounts (dMSA), который существенно упрощает взлом паролей к управляемым аккаунтам и позволяет получить постоянный доступ во всем их ресурсам в доменах Active Directory.

Функциональность dMSA была введена в Windows Server 2025 для зашиты от атак на протокол Kerberos. Разработанный экспертами способ внедрения бэкдора в обход аутентификации несложен в исполнении, однако для успешной атаки придется заполучить корневой ключ службы KDS.

Из-за этого создатели Golden dMSA оценили степень угрозы как умеренную: заветный ключ доступен только из-под учетной записи с высочайшими привилегиями — администратора корневого домена, админа предприятия либо SYSTEM.

С помощью этого мастер-ключа можно получить текущий пароль dMSA или gMSA (групповой управляемый аккаунт пользователя AD) без повторного обращения к контроллеру домена. Как оказалось, для регулярно и автоматически заменяемых паролей предусмотрено лишь 1024 комбинации, и они поддаются брутфорсу.

 

Таким образом, компрометация одного контроллера домена в рамках Golden dMSA может обернуться масштабным взломом управляемых аккаунтов AD-службы. Автор атаки также получает возможность горизонтально перемещаться между доменами целевой организации.

Примечательно, что представленный Semperis метод позволяет обойти Windows-защиту Credential Guard — механизм, предотвращающий кражу учеток, NTLM-хешей и тикетов Kerberos (идентификаторов TGT).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru