СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.03.2025
#ИБ#Инфра

Атака Weaver Ant: Кибершпионаж на телекоммуникациях

Атака Weaver Ant: Кибершпионаж на телекоммуникациях

Источник: www.sygnia.co

В ходе недавнего расследования кибербезопасности было выявлено, что хакерская группа, известная как Weaver Ant, осуществляет изощренные атаки на крупную телекоммуникационную компанию. Данная группа использует взломанные домашние маршрутизаторы для получения доступа к сети жертвы и извлечения конфиденциальной информации, что подчеркивает необходимость повышенного внимания к вопросам безопасности в данной сфере.

Тактика и инструменты нападения

Хакеры применяли несколько инновационных методов, среди которых:

  • Развертывание новой веб-оболочки под названием InMemory, которая позволяет выполнять вредоносный код в памяти.
  • Использование зашифрованной версии веб-оболочки China Chopper, поддерживающей шифрование AES, что улучшает скрытность атак.
  • Непрерывное изменение своих тактик, методов и процедур (TTP) в ответ на изменения в сетевой среде.

Факт активации учётной записи и результаты расследования

Расследование показало, что учётная запись, отключенная в рамках профилактических мер, была снова активирована с использованием ранее скомпрометированной службы. Это вызвало беспокойство среди специалистов по кибербезопасности из-за активности, происходящей с неизвестного взломанного сервера.

В ходе анализа были выявлены следующие нюансы:

  • Существование варианта хорошо известной веб-оболочки China Chopper, работающей на внутреннем сервере.
  • Функциональность веб-оболочки InMemory, использующая JIT-компиляцию для выполнения кода непосредственно в памяти.

Долговременный доступ и последствия для инфраструктуры

Несмотря на предпринятые меры по устранению угрозы, Weaver Ant сохраняла доступ к скомпрометированной сети более четырех лет. По данным мониторинга, проведенного компанией Sygnia, хакеры уже пытались восстановить доступ к системе телекоммуникационной компании, что подчеркивает продолжительность и опасность данной угрозы.

Заключение

Расследование, связанное с активностью Weaver Ant, выявляет серьёзные проблемы, с которыми сталкиваются организации при защите критически важной инфраструктуры от высококвалифицированных и адаптивных киберпреступников. Это служит напоминанием о необходимости постоянного совершенствования методов защиты и реагирования на современные угрозы со стороны киберпреступников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: