Киберпреступник от лица чиновников хамил гражданам Астраханской области

Киберпреступник от лица чиновников хамил гражданам Астраханской области

Киберпреступник, взломавший почтовый ящик управления по капитальному строительству Астраханской области, примерил на себя роль чиновника. Злоумышленник, которого на данный момент установить не удалось, отвечал всем обратившимся гражданам от имени чиновников.

Один из обратившихся в управление граждан, Динияр Кушегалиев, проживающий в астраханском селе Разбугорье, просил помочь с ремонтом дороги, которая ведет к селу. Однако в ответ Кушегалиев получил не очень приятный ответ.

«Мы — жители села Разбугорье — писали в ГКУ АО "Управление по капитальному строительству Астраханской области" с просьбами помочь в ремонте дороги до села Разбугорье. И нам ответили — "пишите хоть Папе Римскому, а лучше пейте, как вся ваша деревня", — пишет пострадавший в одной из социальных сетей.

Скриншоты переписки Кушегалиев опубликовал в соцсетях. Не вполне адекватный ответ «чиновников» датируется 26 октября.

Представители взломанного управления также прокомментировали сложившуюся ситуацию.

«27 октября электронный ящик учреждения был взломан неустановленным лицом. Злоумышленник действовал с помощью мобильного приложения, находясь в Москве», — передает «Интерфакс» слова представителя ведомства.

В настоящее время доступ к почтовому ящику восстановлен.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

APT-группа Nobelium ставит на ADFS-серверы новый бэкдор — FoggyWeb

Эксперты Microsoft изучили новый инструмент постэксплуатации, который APT-группа Nobelium уже пустила в ход. Бэкдор, получивший кодовое имя FoggyWeb, позволяет взломщикам получить данные о настройках службы федерации Active Directory (ADFS), сертификаты для подписи и расшифровки токенов SAML, а также загрузить на сервер дополнительные компоненты.

Преступная группировка, которую в Microsoft называют Nobelium, известна и под другими именами — APT29, The Dukes, Cozy Bear. Эти хакеры часто обновляют свой арсенал и проводят сложные атаки на госструктуры, НКО, научно-исследовательские учреждения, поставщиков ИТ- и телеком-услуг. Им также приписывают авторство прошлогоднего нападения на SolarWinds, получившего большой резонанс.

Первые атаки с использованием FoggyWeb, по данным Microsoft, были зафиксированы в минувшем апреле. Хакеры устанавливают этого работающего в памяти зловреда на взломанный сервер ADFS, чтобы обеспечить себе плацдарм для развития атаки.

Получив админ-доступ к системе, злоумышленники вносят в нее два файла — зашифрованный Windows.Data.TimeZones.zh-PH.pri (FoggyWeb) и version.dll (загрузчик). Вредоносная библиотека загружается в память процесса ADFS по методу подмены DLL; этот компонент отвечает за расшифровку и запуск основного модуля бэкдора.

Активированный FoggyWeb мониторит входящие HTTP-запросы GET и POST, фиксируя используемые схемы URI — список нужных жестко прописан в его коде. Обнаружив совпадение, зловред перехватывает послание и выполняет содержащуюся в нем команду.

 

Ввиду появления новой угрозы Microsoft разослала оповещения заинтересованным клиентам, призвав их усилить защиту ADFS-серверов. С этой целью пользователям рекомендуется сделать следующее:

  • обновить ADFS до последней версии;
  • проверить локальные и облачные ресурсы организации на предмет несанкционированных изменений настроек;
  • удалить неиспользуемые протоколы и функции Windows; 
  • ограничить доступ к ADFS-системам и ужесточить контроль, усилить пароли;
  • поместить используемые для подписи ключи и сертификаты в аппаратное хранилище (HSM).
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru