15.02.2017 11:41
ptsecurity 4 13300 Источник


На прошлой неделе в СМИ была опубликована информация о деятельности группировки киберпреступников, жертвами которой стали банки, телекоммуникационные компании и правительственные учреждения в 40 странах мира, в том числе в России — всего около 140 организаций. Для проникновения в корпоративные сети использовалось только легитимное ПО, а любые вредоносные файлы сохранялись в памяти, не оставляя следов на жестких дисках.

Таинственная атака


Хакеры главным образом используют инструменты для тестов на проникновение, администрирования и утилиты для автоматизации задач в Windows (например, PowerShell).

Впервые активность группировки была обнаружена специалистами «Лаборатории Касперского» в конце 2016 года. В ходе расследования подозрительной активности одного из банков на территории СНГ в памяти одного из серверов организации был найден софт Meterpreter, который используется для тестов на проникновение. Код был загружен напрямую в память, что позволило программе оставаться незамеченной и похищать пароли системных администраторов.

Тактика, при которой вредоносный софт внедряется в легитимное ПО, позволяет атакующим избегать обнаружения методом «белых списков». Кроме того, присутствие только в памяти операционной системы лишает специалистов по кибербезопасности возможности по сбору артефактов, свидетельствующих о незаконной деятельности.

Как еще хакеры атакуют компании


Новости об атаках на корпоративную инфраструктуру, подобные этой, появляются регулярно, однако узнать подробности о способах атак и применяемых нарушителями техниках из публичных источников не всегда возможно. Большинство подобных инцидентов совсем не предаются огласке: компании стремятся сохранить репутацию.

Эксперты Positive Technologies ежегодно проводят исследования корпоративной инфраструктуры и отдельных систем (веб-приложений, систем ДБО и других). Результатами проведенных работ по тестированию на проникновение мы поделимся на специальном бесплатном вебинаре.

В ходе вебинара аналитик отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева расскажет, как нарушитель может эксплуатировать распространенные уязвимости, и покажет типовые сценарии атак.

Вебинар состоится 16 февраля в 14:00. Зарегистрироваться для участия можно по ссылке: www.ptsecurity.com/ru-ru/research/webinar/165706
Поделиться с друзьями
-->

Комментарии (4)


  1. foxin
    15.02.2017 14:50
    #10072444
    +11

    Этот код был загружен скриптами PowerShell из реестра операционной системы напрямую в память, что позволило программе оставаться незамеченной и похищать пароли системных администраторов.

    wat?


    1. kekekeks
      15.02.2017 16:13
      #10072754

      Что-то типа вот этого.


      1. dmitrmax
        16.02.2017 01:33
        #10073686
        +2

        сразу стало ясно как скрипты попали на сервер, а код в реестр


  1. Ugrum
    15.02.2017 15:57
    #10072680
    +4

    Неизвестная кибергруппировка атаковала 140 компаний в 40 странах с помощью легитимного софта

    Ну надо же, как изящно замаскировали переименовали Винду.
    Зачёт автору заголовка.