Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Центр исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружил продолжительную атаку кибергруппировки, которая на протяжении полутора лет оставалась незамеченной в сети российской государственной организации и собирала при этом конфиденциальные данные.

Злоумышленники проникли в систему контроля и управления доступом (СКУД), которая не была подключена к централизованной системе мониторинга информационной безопасности.

Воспользовавшись этим, они получили доступ еще в марте 2023 года, оставаясь незамеченными до тех пор, пока не попытались проникнуть в системы, контролируемые Solar JSOC. Именно в этот момент их активность была обнаружена, что привело к началу расследования и реагирования.

По словам экспертов, атакованная госорганизация являлась клиентом Solar JSOC, однако к сервису мониторинга безопасности были подключены лишь отдельные системы. Корпоративная СКУД в их число не входила, что и позволило хакерам закрепиться в сети на длительное время.

«Недоменные компьютеры, администрируемые вручную, редко обновляются и зачастую используют локальные учетные записи с привилегиями администратора. В некоторых случаях пароли на такие аккаунты отсутствуют вовсе, а если и есть, то нередко остаются простыми и неизменными годами. Эти „забытые“ системы становятся легкой мишенью для злоумышленников. Именно поэтому регулярная инвентаризация ИТ-активов и комплексный мониторинг всей сети критически важны для защиты от кибератак», — отметил эксперт Solar 4RAYS Денис Чернов.

Обнаруженная группировка получила в ГК «Солар» название Erudite Mogwai. Такое обозначение связано с тем, что в своем вредоносном коде злоумышленники оставляют отсылки к литературным и музыкальным произведениям. Группировка также известна под именем Space Pirates и специализируется на атаках на госучреждения и технологические предприятия. Среди зафиксированных целей — организации из России, Грузии, Монголии, Китая, Сербии и Узбекистана.

За 1,5 года Erudite Mogwai скомпрометировали несколько десятков систем госорганизации, используя более 20 различных инструментов, которые удаляли после эксплуатации. Среди применяемых утилит были преимущественно open-source решения китайского происхождения.

Отличительной чертой атаки стало использование модифицированной версии утилиты Stowaway — инструмента для проксирования трафика и сокрытия следов. По всей видимости, хакеры создали собственную версию этой утилиты под свои нужды. В ходе атаки также применялись:

  • Shadowpad Light (Deed RAT) и LuckyStrike Agent — бэкдоры для скрытого доступа к системам.
  • Keylogger CopyCat — инструмент для перехвата нажатий клавиш.
  • Fscan и Lscan — утилиты для сканирования сетей.
  • Netspy — инструмент для тестирования и разведки в сети.

«Тактики и техники Erudite Mogwai направлены на долговременное скрытое присутствие в скомпрометированных системах. Они начали атаку с уязвимого сегмента сети, что позволило им длительное время оставаться незамеченными. Это типичный подход профессиональных группировок, занимающихся кибершпионажем», — подчеркнул Денис Чернов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В продукте Security Vision VM появились blackbox и автономный агент

Security Vision представила обновлённую версию продукта для управления уязвимостями (VM), в которую вошёл ряд новых возможностей. Теперь система поддерживает blackbox-сканирование, может работать через автономного агента и расширяет покрытие платформ за счёт новых операционных систем.

Основные нововведения

В режиме blackbox система сканирует сервисы без использования учётных данных, определяя уязвимые версии программного обеспечения на хостах.

Такой подход позволяет находить уязвимости в популярных сервисах вроде OpenSSH, OpenSSL, Nginx, Apache, PHP, LDAP, MSSQL, PostgreSQL, Oracle, MySQL и других — без предварительного доступа к целевым системам.

Добавлен автономный агент, который устанавливается на изолированные или удалённые хосты. При появлении соединения с корпоративной сетью агент автоматически получает задания на сканирование и отправляет результаты обратно. Это позволяет охватывать даже те активы, к которым нет постоянного доступа.

В части платформенной поддержки появилась возможность сканировать iOS-устройства, а также дистрибутивы Linux SUSE, Alpine и Solaris.

Дополнительные улучшения

  • В режиме pentest появились новые проверки для SNMP, SSH, Telnet, SSL/TLS, RCE и web-уязвимостей.
  • Расширены возможности по использованию кастомных словарей для bruteforce.
  • В карточке уязвимости теперь отображаются альтернативные методы устранения (workaround), например, для уязвимостей Microsoft.
  • Реализована функция построения маршрутов достижимости активов с использованием данных из ACL и таблиц маршрутизации сетевых устройств (UserGate, «Континент», Cisco и др.). Это помогает оценить риски продвижения злоумышленника внутри сети.

Обновлённая версия направлена на повышение гибкости работы с уязвимостями и расширение контроля за защищённостью в корпоративных инфраструктурах — в том числе при наличии ограниченного доступа к хостам и разнообразной ИТ-среды.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru