Microsoft: Эта APT-группа менее чем за неделю ломает сеть организации

Microsoft: Эта APT-группа менее чем за неделю ломает сеть организации

Microsoft описала атаки хорошо подготовленной киберпреступной группировки, которая, по словам техногиганта, смогла менее чем за неделю пройти путь от взломанного пароля от облака до полного контроля над сетью организации.

Про операции профессиональных киберпреступников рассказала команда Microsoft Threat Protection Intelligence Team. В частности, специалисты пишут:

«Ежедневно мы наблюдаем за действиями злоумышленников, которые пытаются атаковать организации, используя различные векторы атак. Основная цель таких группировок — найти путь наименьшего сопротивления и выкрасть как можно больше важной внутренней информации».

На кампанию одной из таких групп Microsoft наткнулась совсем недавно. Исследователи присвоили хакерам имя Holmium. По словам наблюдавших за атаками экспертов, группа Holmium максимально эффективно использует векторы атак, завязанные на облачных серверах.

Holmium также известна под именами ATP33, StoneDrill и Elfin, а её деятельность связывают с властями Ирана. Группировка специализируется на кибершпионаже и деструктивных атаках против аэрокосмической, химической, горнодобывающей и нефтеперерабатывающей сфер.

Как объяснили специалисты Microsoft, Holmium использует разнообразные методы для получения доступа к сетям жертв. Целевой фишинг, брутфорс и password spraying — всё это входит в арсенал APT-группы.

Однако недавние атаки злоумышленников отметились также использованием инструмента для пентеста (тестирование на проникновение) Ruler, с помощью которого атакующие получали контроль над одним из компьютеров в сети.

«После получения контроля над одной из конечных точек группировка в течение нескольких часов исследовала Сеть жертвы», — объясняет Microsoft.

Как правило, операторам Holmium удавалось меньше чем за неделю полностью скомпрометировать домен целевой организации. За счёт хорошей подготовки киберпреступники могли оставаться в сети жертвы месяцами.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Эксперты взялись за главную дыру Google Chrome — JavaScript-движок V8

Как известно, JavaScript-движок V8, используемый в браузере Google Chrome, не раз подвергался критике со стороны специалистов в области кибербезопасности. Эксперты отмечали большое количество уязвимостей в V8, однако теперь появилась новая инициатива, задача которой — усилить безопасность движка JavaScript.

В этом году разработчики Google пропатчили множество уязвимостей нулевого дня (0-day) в V8. В апреле, например, корпорация подтвердила наличие серьёзного бага CVE-2021-21224, используемого в реальных атаках.

Чтобы как-то решить проблему с JavaScript-движком, Сэмюэль Гросс из Google Project Zero предложил своё видение песочницы для V8, которая должна защитить память от опасных уязвимостей.

«Баги V8, как правило, позволяют создать нетипично мощные эксплойты. Более того, эти дыры вряд ли можно устранить посредством безопасных языков программирования (например, Rust) или функциями безопасности вроде MTE и CFI. В результате V8 становится лакомым куском для злоумышленников», — объясняет специалист.

Также Гросс отметил, что стоит уделить внимание проблемам во взаимодействии софтверных компонентов браузера с аппаратной составляющей. Там тоже есть баги, из-за которых у атакующих появляется возможность выполнить код в системе пользователя.

Основная проблема здесь кроется в JIT-компиляторах, которые можно использовать для запуска злонамеренного кода, повреждающего память. Тем не менее введение дополнительных уровней защиты может сказаться на производительности, признаёт эксперт.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru