На прошлой неделе в СМИ была опубликована информация о деятельности группировки киберпреступников, жертвами которой стали банки, телекоммуникационные компании и правительственные учреждения в 40 странах мира, в том числе в России — всего около 140 организаций. Для проникновения в корпоративные сети использовалось только легитимное ПО, а любые вредоносные файлы сохранялись в памяти, не оставляя следов на жестких дисках.
Таинственная атака
Хакеры главным образом используют инструменты для тестов на проникновение, администрирования и утилиты для автоматизации задач в Windows (например, PowerShell).
Впервые активность группировки была обнаружена специалистами «Лаборатории Касперского» в конце 2016 года. В ходе расследования подозрительной активности одного из банков на территории СНГ в памяти одного из серверов организации был найден софт Meterpreter, который используется для тестов на проникновение. Код был загружен напрямую в память, что позволило программе оставаться незамеченной и похищать пароли системных администраторов.
Тактика, при которой вредоносный софт внедряется в легитимное ПО, позволяет атакующим избегать обнаружения методом «белых списков». Кроме того, присутствие только в памяти операционной системы лишает специалистов по кибербезопасности возможности по сбору артефактов, свидетельствующих о незаконной деятельности.
Как еще хакеры атакуют компании
Новости об атаках на корпоративную инфраструктуру, подобные этой, появляются регулярно, однако узнать подробности о способах атак и применяемых нарушителями техниках из публичных источников не всегда возможно. Большинство подобных инцидентов совсем не предаются огласке: компании стремятся сохранить репутацию.
Эксперты Positive Technologies ежегодно проводят исследования корпоративной инфраструктуры и отдельных систем (веб-приложений, систем ДБО и других). Результатами проведенных работ по тестированию на проникновение мы поделимся на специальном бесплатном вебинаре.
В ходе вебинара аналитик отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева расскажет, как нарушитель может эксплуатировать распространенные уязвимости, и покажет типовые сценарии атак.
Вебинар состоится 16 февраля в 14:00. Зарегистрироваться для участия можно по ссылке: www.ptsecurity.com/ru-ru/research/webinar/165706
