Киберпреступники используют уязвимость Zerologon во время атак на промышленные и автомобильные компании

Дата: 18.11.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Киберпреступники используют уязвимость Zerologon во время атак на промышленные и автомобильные компании

ИБ-эксперты компании Symantec обнаружили глобальную киберпреступную кампанию, которая нацелена на организации промышленной отрасли. В процессе проведения атаки киберпреступники активно используют уязвимость Zerologon.

Специалисты из Symantec убеждены, что за проводимыми кибератаками стоят хакеры из группировки Cicada, которая также известна под названиями APT10, Stone Panda и Cloud Hopper.

Исследователи смогли подтвердить факт проведения атак со стороны этой хакерской группы с использованием уязвимости Zerologon на организации из различных регионов мира (в общей сложности 17 регионов), занятых в следующих сферах деятельности:

  • автомобильная;
  • фармацевтическая;
  • инженерная;
  • удаленное управление (MSP).

По информации Symantec, группировка Cicada активно действует с октября 2019 года. Начавшаяся тогда волна кибератак продолжалась как минимум до середины октября 2020 года.

Специалисты Symantec отмечают, что хакеры имеют отличное обеспечение всеми необходимыми ресурсами, что позволяет использовать им различные современные инструменты и техники: боковая загрузка DLL, сетевая разведка, кража учетных данных, утилиты командной строки, способность устанавливать корневые сертификаты браузера, декодировать данные, реализовывать сценарии PowerShell. И даже использоваться в своих атаках легитимных поставщиков облачных хостингов для загрузки, упаковки, извлечения украденной информации.

Несколько месяцев назад в инструментарий хакерской группы Cicada была добавлен инструмент, который способен активно эксплуатировать уязвимость Zerologon. Уязвимость CVE-2020-1472 имеет рейтинг 10 из 10 CVSS, была обнаружена и раскрыта корпорацией Microsoft в августе 2020 года. Ее можно использовать для подделки учетных записей контроллеров домена и взлома доменов, для компрометации служб идентификации Active Directory.

«Очевидно, что хакеры из Cicada имеют доступ к огромному количеству ресурсов, с помощью которых они проводят крупномасштабные и сложные киберпреступные операции. Группировка остается одной из наиболее опасных в мире. Использование ими инструмента для эксплуатации уязвимости Zerologon и настраиваемого бэкдора демонстрирует, что группа активно развивает свой инструментарий и тактики для нацеливания на своих жертв», – говорится в исследовании компании Symantec.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *