СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.02.2025
#ИБ

Взлом производственного сектора: время реакции стало критическим

Взлом производственного сектора: время реакции стало критическим

Недавний инцидент в производственном секторе, связанный с фишингом и утечкой данных, подчеркивает настоятельную необходимость расширения возможностей автоматизированного реагирования. Сообщается, что злоумышленники смогли осуществить взлом всего за 48 минут, что указывает на тревожную тенденцию — преступники действуют быстрее, чем службы безопасности.

Методы работы злоумышленников

Данный взлом связан с тактикой, обычно ассоциируемой с группой вымогателей Black Basta, в том числе:

  • Изощренное использование фишинга;
  • Применение социальной инженерии.

В инциденте более 15 пользователей стали жертвами спама, который, как выяснилось, исходил с законного адреса электронной почты onmicrosoft.com. Злоумышленник выдал себя за сотрудника службы технической поддержки и убедил, по крайней мере, двух ничего не подозревающих пользователей воспользоваться инструментом удаленного доступа Quick Assist.

Обход систем безопасности

Эффективность этого метода заключается в том, что он усиливает беспокойство пользователей о переполнении почтового ящика и не требует прямого взаимодействия с вредоносными ссылками или вложениями. После проникновения злоумышленники использовали стороннюю загрузку библиотеки DLL — метод, заключающийся в размещении вредоносной полезной нагрузки в каталоге с уязвимым приложением. В данном случае библиотека winhttp.dll была незаконно загружена в файл обновления OneDrive.

Атака и ее последствия

После осуществления взлома злоумышленники быстро установили командно-контрольную связь (C2) по протоколу HTTPS и попытались переместиться в другое место всего за несколько минут. Ловкость хакеров была очевидна, когда их попытки распространить вредоносную библиотеку DLL потерпели неудачу, что вынудило их переключиться на протокол удаленного рабочего стола (RDP) в сочетании с PowerShell.

Рекомендации по улучшению безопасности

Инцидент подчеркивает необходимость внедрения надежных мер безопасности, включая:

  • Создание эффективных процедур проверки для предотвращения олицетворения;
  • Блокировку инструментов удаленного мониторинга и управления, таких как Quick Assist;
  • Расширение зоны обнаружения и реагирования на конечные точки;
  • Обеспечение контроля приложений с помощью групповой политики.

Интеграция автоматизации в стратегии реагирования поможет значительно сократить среднее время на сдерживание угроз и снизить риск значительного ущерба. Все это указывает на необходимость активного подхода к обеспечению безопасности в условиях, когда методы злоумышленников становятся все более адаптивными и сложными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: