За атакой на Красный Крест стоит APT-группа, использовавшая баг Zoho

За атакой на Красный Крест стоит APT-группа, использовавшая баг Zoho

За атакой на Красный Крест стоит APT-группа, использовавшая баг Zoho

Представители международного гуманитарного движения Красного Креста рассказали детали кибератаки, которая в прошлом месяце поразила подрядчика. Оказалось, что за кампанией может стоять правительственная кибергруппировка, а причиной взлома сервера стал баг корпоративного менеджера паролей Zoho ManageEngine ADSelfService Plus.

Напомним, что киберинцидент произошёл в конце января 2022 года и затронул программу «Restoring Family Links», помогающую семьям воссоединиться после войн, катастроф и миграции. Злоумышленники взломали серверы и украли персональные данные 515 тысяч человек.

Жёсткая обфускация и серьёзные инструменты для взлома указывают на деятельность APT-группировки (advanced persistent threat). Также на работу хорошо подготовленных хакеров намекает использование кода, специально разработанного для атакуемых ICRC-серверов.

«Большинство вредоносных файлов, обнаруженных на целевых машинах, специально созданы для обхода наших защитных решений. Нам удалось обнаружить факт взлома только после установки EDR-системы», — гласит заявление Красного Креста.

Также в ходе расследования выяснилось, что атака началась 9 ноября 2021 года, преступники имели доступ к серверам в течение 70 дней. Для проникновения в сеть атакующие использовали уязвимость под идентификатором CVE-2021-40539 в  Zoho ManageEngine ADSelfService Plus — корпоративном менеджере паролей.

Поскольку администраторы не пропатчили брешь, она помогла злоумышленникам выполнить код удалённо. Исследователи из Palo Alto Networks приписывают эксплуатацию этой уязвимости китайской киберпреступной группировке APT27.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Перми задержали сотрудников салона мобильной связи за фиктивные продажи

В Перми полицейские задержали директора и продавца салона сотовой связи за оформление сим-карт на данные посторонних лиц. Задержанным, 1999 и 2003 годов рождения, избрана мера пресечения в виде подписки о невыезде и надлежащем поведении. Расследование продолжается.

О факте задержания сообщил официальный телеграм-канал УМВД по Пермскому краю. По словам самих обвиняемых, они оформляли сим-карты на третьих лиц ради выполнения плана продаж.

Возбуждено уголовное дело по ч. 3 ст. 272 УК РФ — неправомерный доступ к компьютерной информации, совершённый организованной группой либо с использованием служебного положения. Санкции статьи предусматривают до 5 лет лишения свободы или исправительных работ.

«Полиция напоминает: передача персональных данных посторонним может привести к серьёзным последствиям. Злоумышленники могут использовать такую информацию для оформления кредитов на ваше имя или других противоправных действий. Соблюдайте цифровую гигиену, избегайте сомнительных интернет-ресурсов и не передавайте свои данные даже за вознаграждение», — предупреждает УМВД по Пермскому краю.

Сим-карты, оформленные на подставных лиц, часто используются в различных преступных схемах — от взлома аккаунтов до кражи денег через онлайн-банкинг. Известны случаи, когда на номинальных владельцев таких карт оформляли кредиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru