Злоумышленников выявили с помощью видео

Злоумышленников выявили с помощью видео

Злоумышленников выявили с помощью видео

Эксперты центра исследования киберугроз Solar 4RAYS обнаружили новую атаку азиатской прогосударственной APT-группировки Obstinate Mogwai на российское ведомство.

Выявить активность злоумышленников и предпринять необходимые меры помогла Solar SafeInspect, благодаря которой действия хакеров попали на видео.

Группировка Obstinate Mogwai является проправительственной, работающей на госструктуры одной из азиатских стран. Основная цель злоумышленников — кибершпионаж, а жертвы — российские госструктуры, ИТ-компании и их подрядчики.

С 2023 года с этой группой были связаны 4 расследования, проведенных Solar 4RAYS, но не исключено, что жертв у группировки значительно больше.

Первые признаки атаки на одно из российских ведомств были зафиксированы службой мониторинга центра противодействия кибератакам Solar JSOC. Система обнаружила запросы к веб-ресурсу с индикатора компрометации, который уже находился в базе Solar 4RAYS.

Предварительно злоумышленники проникли в инфраструктуру подрядчика, а дальше использовали его привилегированные учетные записи, имеющие доступ к сети жертвы.

Для доступа в инфраструктуру целевой организации хакеры использовали терминальные серверы, где были развернуты системы электронного документооборота.

Выявить активность злоумышленников и интересовавшие их данные удалось с помощью системы контроля привилегированных пользователей Solar SafeInspect, одной из функций которых является запись экрана во время сеансов злоумышленников.

Удалось выяснить, что Obstinate Mogwai интересовали конфиденциальные документы, связанные со странами Азиатского региона. Атакующие постранично просматривали открываемые документы и делали паузы на несколько секунд для съема скриншотов.

«Арсенал Obstinate Mogwai достаточно разнообразен. Для проникновения в целевую инфраструктуру они применяют эксплуатацию публичных сервисов, доступ через подрядчика и легитимные аккаунты. Особый интерес у группы вызывают серверы Exchange, которые регулярно становились первоочередными целями для их атак. Они также используют как известные вредоносные инструменты, так и новые образцы ВПО (Donnect и DimanoRAТ). Кроме того, мы обнаружили артефакты, указывающие на связь Obstinate Mogwai с IAmTheKing — другой известной азиатской APT-группировкой. Но главная их черта — это упрямство (отсюда и название). Расследуя инциденты, мы видели, как хакеры вновь и вновь возвращались в атакованную организацию, пока мы не закрыли им все возможности для проникновения. А спустя время, мы обнаруживали следы новых попыток проникнуть в инфраструктуру, которую мы защищаем. Группа очень активна до сегодняшнего дня», — сказал Иван Сюхин, руководитель группы расследования инцидентов Solar 4RAYS ГК «Солар».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Калининграде будут судить фигуранта американского дела о шифровальщиках

В Калининграде завершилось расследование в отношении 32-летнего местного жителя, обвиняемого в создании вредоносной программы для шифрования файлов. Уголовное дело передано в суд для рассмотрения по существу.

По версии следствия, зловред, о котором идет речь, был разработан в январе этого года с корыстной целью: его предполагалось использовать против коммерческих организаций, чтобы потом требовать выкуп за возврат данных.

Подобное деяние подпадает под признаки преступления, предусмотренного ч. 1 ст. 273 УК РФ (создание вредоносных программ). В случае установления вины ответчика могут отправить за решетку на срок до четырех лет.

Как выяснил корреспондент РИА Новости, обвиняемый — тот самый Михаил Матвеев, которого ФБР объявило в розыск как фигуранта похожих дел, открытых в США. Американцы инкриминируют россиянину вымогательство с помощью шифровальщиков и пообещали заплатить $10 млн за информацию, которая поможет его поймать и наказать.

Чтобы избежать уголовного преследования за рубежом, Матвеев, он же Wazawaka, m1x и Boriselcin, перестал выезжать из России. Он также во всеуслышание заявил, что покончил с противоправным заработком; по всей видимости, это была дымовая завеса, и теперь ему придется отвечать перед законом в своей стране.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru