За взломом австралийской компании Austal могут стоять иранские хакеры

За взломом австралийской компании Austal могут стоять иранские хакеры

В деле о взломе австралийского оборонного предприятия Austal появились новые зацепки — Центр кибербезопасности Австралии вышел на иранских киберпреступников, которые могут быть замешаны в кибератаке на подрядчика.

Как пишет Daily Telegraph, австралийское ведомство до конца не уверено в причастности ко взлому именно этих злоумышленников, однако в центре утверждают, что иранские «хакеры» замешаны в этом деле с большой долей вероятности.

На данный момент рано говорить о какой-либо связи преступников с правительством Ирана, так как подтверждающих этот факт данных просто нет.

Напомним, что киберпреступники совершили успешную атаку на австралийское оборонное предприятие Austal. В ходе нападения в руки злоумышленников попали личные дела сотрудников.

Компания уже опубликовала официальное заявление, в котором подтвердила факт взлома и компрометацию личных дел служащих. Также в компании подчеркнули:

«В настоящий момент нет никаких доказательств того, что киберпреступники завладели информацией, касающейся национальной безопасности или коммерческой деятельности компании».

Уже появилась информация о продаже в Сети скомпрометированных данных, среди которых были номера мобильных телефонов и адреса электронной почты сотрудников Austal. Несмотря на предпринятые попытки шантажа в компании отметили, что ни в коем случае не пойдут на поводу у злоумышленников.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

MaxPatrol SIEM теперь выявляет атакующих на этапе сбора данных

Пользователи системы MaxPatrol SIEM теперь могут выявлять злоумышленников на этапе, когда они собирают данные о скомпрометированной сети, чтобы развивать свою атаку. Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK.

После получения постоянного доступа к сети жертвы злоумышленникам требуется определить, где в инфраструктуре они находятся, что их окружает и что они могут контролировать. Во время разведки атакующие собирают данные о скомпрометированной системе и внутренней сети, и это помогает им сориентироваться, чтобы решить, как действовать дальше. Для этого злоумышленники часто используют встроенные инструменты операционных систем.

Новый пакет экспертизы включает в себя правила детектирования 15 популярных техник разведки. Теперь пользователи смогут обнаружить активность злоумышленников еще во время их попыток получить список учетных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты.

«Отличить активность атакующих, которые проводят разведку, от легитимных запросов обычных пользователей непросто, — комментирует Антон Тюрин, руководитель отдела экспертных сервисов PT Expert Security Center. — Если злоумышленники действуют под учетной записью реального пользователя и используют встроенные утилиты, то их активность, как правило, теряется в потоке событий. Новый пакет экспертизы поможет обратить внимание специалистов по ИБ на события, которые на первый взгляд могут не вызывать подозрений».

Пакет экспертизы, посвященный тактике «Разведка» (Discovery), — это пятый пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик. Пакеты, ранее загруженные в MaxPatrol SIEM, продолжают пополняться правилами по мере появления новых способов обнаружения атак. Так, одновременно с выходом пятого пакета экспертизы первый пакет из серии получил 14 правил корреляции для выявления техник выполнения кода и обхода защиты.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru