CrowdStrike: «русские хакеры» из группировки APT29 продолжают атаковать западные цели

Дата: 27.01.2022. Автор: Артем П. Категории: Новости по информационной безопасности
CrowdStrike: «русские хакеры» из группировки APT29 продолжают атаковать западные цели
Изображение: Clint Patterson (Unsplash)

Компания CrowdStrike, занимающаяся кибербезопасностью, выступила с заявлением о продолжении киберпреступных атак со стороны русскоязычных хакеров из группировки APT29. По словам экспертов, злоумышленники уже взломали сети нескольких крупных американских и международных компаний после компрометации цепочки поставок SolarWinds, сообщает издание Bleeping Computer.

Специалисты из CrowdStrike заявили, что вторжения в корпоративные сети компаний хакерами из APT29 (как предполагают в CrowdStrike, группировка связана со Службой внешней разведки РФ) применяются два новых вида угроз:

  • разновидность известного ранее бэкдора GoldMax для Linux;
  • новое семейство вредоносного ПО, которое экспертами из CrowdStrike отслеживается сейчас как TrailBlazer.

Уточняется, что обе угрозы киберпреступниками из APT29 были использованы в рамках хакерских кампаний StellarParticle с осени 20219 года, но их специалисты смогли обнаружить только спустя два года.

Выявленные ранее атаки StellarParticle были отнесены американскими ИБ-экспертами к хакерской группировке APT29, которая уже более 12 лет осуществляет кибершпионаж. Группа также известна под названиями CozyBear, The Dukes и Yttrium. В опубликованном отчете компания CrowdStrike детально описывает актуальные тактики, методы и процедуры (TTP), регистрируемые в кибератаках со стороны хакеров из APT29.

В CrowdStrike отмечают, что TrailBlazer – это новое семейство вредоносного ПО, а бэкдор GoldMax для Linux «по функциональным возможностям и реализации полностью идентичен ранее идентифицированному варианту Windows в мае 2020 года».

Тим Паризи, директор по профессиональным услугам CrowdStrike, сообщил Bleeping Computer, что самое долгое время, которое злоумышленники из APT29 проводили во внутренних сетях организаций, составляло два года. «Чтобы предотвратить потерю доступа, хакеры Cozy Bear периодически обновляли украденные учетные данные, воруя новые, часто через Mimikatz», – подчеркнул Тим Паризи.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.