Злоумышленников выявили с помощью видео

Яков Шпунт 09 Октября 2024 - 20:11

Таргетированные атаки

...

Эксперты центра исследования киберугроз Solar 4RAYS обнаружили новую атаку азиатской прогосударственной APT-группировки Obstinate Mogwai на российское ведомство.

Выявить активность злоумышленников и предпринять необходимые меры помогла Solar SafeInspect, благодаря которой действия хакеров попали на видео.

Группировка Obstinate Mogwai является проправительственной, работающей на госструктуры одной из азиатских стран. Основная цель злоумышленников — кибершпионаж, а жертвы — российские госструктуры, ИТ-компании и их подрядчики.

С 2023 года с этой группой были связаны 4 расследования, проведенных Solar 4RAYS, но не исключено, что жертв у группировки значительно больше.

Первые признаки атаки на одно из российских ведомств были зафиксированы службой мониторинга центра противодействия кибератакам Solar JSOC. Система обнаружила запросы к веб-ресурсу с индикатора компрометации, который уже находился в базе Solar 4RAYS.

Предварительно злоумышленники проникли в инфраструктуру подрядчика, а дальше использовали его привилегированные учетные записи, имеющие доступ к сети жертвы.

Для доступа в инфраструктуру целевой организации хакеры использовали терминальные серверы, где были развернуты системы электронного документооборота.

Выявить активность злоумышленников и интересовавшие их данные удалось с помощью системы контроля привилегированных пользователей Solar SafeInspect, одной из функций которых является запись экрана во время сеансов злоумышленников.

Удалось выяснить, что Obstinate Mogwai интересовали конфиденциальные документы, связанные со странами Азиатского региона. Атакующие постранично просматривали открываемые документы и делали паузы на несколько секунд для съема скриншотов.

«Арсенал Obstinate Mogwai достаточно разнообразен. Для проникновения в целевую инфраструктуру они применяют эксплуатацию публичных сервисов, доступ через подрядчика и легитимные аккаунты. Особый интерес у группы вызывают серверы Exchange, которые регулярно становились первоочередными целями для их атак. Они также используют как известные вредоносные инструменты, так и новые образцы ВПО (Donnect и DimanoRAТ). Кроме того, мы обнаружили артефакты, указывающие на связь Obstinate Mogwai с IAmTheKing — другой известной азиатской APT-группировкой. Но главная их черта — это упрямство (отсюда и название). Расследуя инциденты, мы видели, как хакеры вновь и вновь возвращались в атакованную организацию, пока мы не закрыли им все возможности для проникновения. А спустя время, мы обнаруживали следы новых попыток проникнуть в инфраструктуру, которую мы защищаем. Группа очень активна до сегодняшнего дня», — сказал Иван Сюхин, руководитель группы расследования инцидентов Solar 4RAYS ГК «Солар».

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Екатерина Быстрова 20 Февраля 2026 - 16:25

Малый и средний бизнес Корпорации Услуги по информационной безопасности Услуги по аутсорсингу информационной безопасности Услуги коммерческих Security Operations Center (SOC) Лаборатория Касперского

Компании готовы тратить в среднем $2 млн на создание собственного SOC

Компании, которые только собираются строить собственный центр мониторинга кибербезопасности (SOC), в среднем готовы заложить на проект около 2 млн долларов. Такие данные приводит исследовательский центр «Лаборатории Касперского» по итогам глобального опроса организаций со штатом более 500 человек, где SOC пока нет, но его планируют создать в ближайшие два года.

Интересно, что больше половины респондентов (55%) рассчитывают уложиться в бюджет до 1 млн долларов.

При этом почти четверть (24%), наоборот, готовы потратить свыше 2,5 млн долларов. Всё сильно зависит от масштаба бизнеса. Малые компании в среднем ориентируются на сумму до 1,2 млн долларов, средние — примерно на 1,7 млн, а крупные корпорации — уже на 5 млн долларов. И это логично: чем больше инфраструктура и выше требования к защите, тем дороже проект.

Есть и региональные особенности. Например, в Китае и Вьетнаме компании готовы инвестировать в SOC больше, чем в среднем по миру. Это может быть связано с курсом на цифровой суверенитет и развитием собственных решений в сфере кибербезопасности.

По срокам большинство настроено довольно амбициозно. Две трети компаний (66%) рассчитывают развернуть SOC за 6–12 месяцев, ещё 26% закладывают от года до двух. Крупные организации, несмотря на более сложную инфраструктуру, чаще планируют уложиться в более сжатые сроки. На практике это обычно выглядит так: сначала SOC запускают для защиты критически важных систем, а затем постепенно расширяют его охват.

Главный барьер — деньги. Треть компаний (33%) называют основной проблемой высокие капитальные затраты. Почти столько же (28%) признаются, что им сложно оценить эффективность будущего SOC: метрик слишком много — от финансовых и операционных до стратегических, включая соответствие отраслевым стандартам.

Кроме того, бизнес сталкивается со сложностью самих решений: 27% говорят о трудностях управления комплексными системами кибербезопасности, 26% — об интеграции множества технологий. И, конечно, кадровый вопрос никуда не делся: четверть компаний отмечают нехватку квалифицированных специалистов, как внутри организации, так и на рынке в целом.

Как поясняет руководитель Kaspersky SOC Consulting Роман Назаров, бюджет на SOC может заметно отличаться в зависимости от масштаба инфраструктуры и выбранных решений. Первичные инвестиции покрывают лицензии и оборудование, но на этом расходы не заканчиваются — серьёзную долю в общей стоимости владения составляют операционные затраты, прежде всего зарплаты специалистов. По его словам, без чёткого стратегического плана с прописанными этапами и целями построить устойчивую систему кибербезопасности не получится.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!