Архив новостей

Слабое звено

Как оказалось, кража технологических секретов RSA, которая заставила изрядно поволноваться всех клиентов крупнейшего производителя средств интернет-защиты, обязана своим успехом сотруднику компании, открывшему вредоносный файл, полученный в спаме.

По свидетельству экспертов, это был яркий пример целевой атаки, использующей приемы социальной инженерии и эксплойт нулевого дня. Неизвестные злоумышленники отослали ряд спам-сообщений, адресованных разным группам служащих RSA среднего звена. По всей видимости, этому предшествовал сбор личной информации сотрудников, опубликованной в интернете ― в первую очередь, в социальных сетях. Авторам целевой спам-рассылки удалось заинтриговать лишь одного из получателей, но и этого оказалось достаточно. «План расширения кадрового состава в 2011 году» с аттачем был извлечен из мусорной корзины, куда его направил защитный спам-фильтр, и зараженная xls-таблица открыта.

В результате отработки эксплойта, внедренного в файл Excel (тогда еще не пропатченная уязвимость CVE-2011-0609), в систему был установлен бэкдор ― один из вариантов Poison Ivy. Чтобы не светить командный трафик, программа удаленного администрирования сама подключалась к центру управления для получения дальнейших инструкций. Проникнув во внутреннюю сеть RSA через эту брешь, хакеры начали поиск нужной информации и сотрудников с соответствующим уровнем доступа.

Все, что удалось скопировать из корпоративных хранилищ, киберворы вывели по ftp-каналам на сторонние (взломанные) сервера, скачали и замели следы. Следует отметить, что с момента проникновения во внутреннюю сеть RSA незваные гости действовали очень оперативно. Защитные механизмы компании зафиксировали кибератаку, но оказались не в состоянии предотвратить кражу.

RSA не преминула поставить клиентов в известность о неприятном инциденте и начатом расследовании, а также заверить их, что принимает все надлежащие меры по усилению защиты своей ИТ-инфраструктуры. Представитель компании пояснил, что украденная информация касается технологии, заложенной в линейку продуктов SecurID ― генераторов одноразовых паролей, карт персонального доступа к защищенным данным и прочих средств многоуровневой аутентификации. По мнению экспертов, последствия в виде целевых атак против систем SecurID на местах маловероятны. Тем не менее, похищенные данные потенциально могут быть использованы для подавления конкретного механизма двухуровневой авторизации в ходе комплексной кибератаки.

Слабое звено

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике