Новая APT-группировка атакует госучреждения в разных странах мира

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) выявили APT-группировку, получившую название Calypso. Группировка действует с 2016 года и нацелена на государственные учреждения. На данный момент она действует на территории шести стран.

По данным экспертов, от действий группировки уже пострадали организации из Индии (34% жертв), Бразилии, Казахстана (по 18%), России, Таиланда (по 12%) и Турции (6%). Злоумышленники взламывали сетевой периметр и размещали на нем специальную программу, через которую получали доступ к внутренним сетям скомпрометированных организаций. Как показало расследование, злоумышленники продвигаются внутри сети либо с помощью эксплуатации уязвимости удаленного исполнения кода MS17-010, либо с помощью украденных учетных данных. 

«Успеху атак этой группировки во многом способствует тот факт, что большинство утилит, применяемых ею для продвижения внутри сети, широко используются специалистами по всему миру для сетевого администрирования, — рассказал ведущий специалист группы исследования киберугроз Денис Кувшинов. — Группировка использовала общедоступные утилиты и эксплойты, например SysInternals[1], Mimikatz[2]; EternalBlue, EternalRomance[3]. При помощи распространенных эксплойтов преступники заражают компьютеры в локальной сети организации и похищают конфиденциальные данные». 

По словам специалистов Positive Technologies, организация может предотвратить такие атаки при помощи специализированных систем глубокого анализа трафика, которые позволят вычислить подозрительную активность на начальной стадии проникновения злоумышленников в локальную сеть и не дадут им закрепиться в инфраструктуре компании. Кроме того, обнаружить атаки и противодействовать им помогут мониторинг событий ИБ, защита периметра и веб-приложений. 

Согласно полученным данным, выявленная APT-группировка предположительно имеет азиатские корни и относится к числу китайскоговорящих. В одной из атак группировка использовала вредоносную программу PlugX, которую традиционно используют многие APT-группы китайского происхождения, а также троян Byeby, который применялся во вредоносной кампании SongXY в 2017 году. Кроме того, во время отдельных атак злоумышленники по ошибке раскрывали свои реальные IP-адреса, принадлежащие китайским провайдерам.


[1] Легитимный набор утилит для администрирования Windows.

[2] Утилита для получения учетных данных пользователя, в том числе пароля.

[3] Эксплойты для уязвимости MS17-010.

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

13.11.2019 Киберугрозы: что беспокоит российский ритейл

08.11.2019 Цифровое ТВ: полторы тысячи, чтобы обогнать Европу

07.11.2019 Онлайн-экспорт идет на взлет

01.11.2019 Триколор: клиента перестали интересовать моноуслуги

31.10.2019 Время медиаконтента

28.10.2019 На новом витке эволюции СЭД

22.10.2019 Саечка за испуг. Правительство пошло навстречу ИТ-гигантам

10.10.2019 Блокчейн во впадине разочарования

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга