За последние 14 месяцев киберпреступная группировка Tortoiseshell атаковала по меньшей мере 11 IT-компаний, большинство из которых расположены в Саудовской Аравии. По словам исследователей Symantec, целью хакеров, предположительно, является компрометация клиентов компаний.

В некоторых случаях злоумышленникам удалось получить привилегии администратора, а также заразить несколько сотен компьютеров в попытках найти нужные им данные, такие как IP-адреса и информацию о сетевых подключениях.

Группа взяла на вооружение вредоносное ПО под названием Backdoor.Syskit, разработанный в версиях на языках Delphi и .NET. С помощью данного бэкдора хакеры могут загружать и выполнять дополнительные инструменты и команды. Для установки Backdoor.Syskit запускается с помощью параметра «-install». Вредонос собирает и отправляет IP-адреса, данные о названии и версии используемой ОС, а также Mac-адреса на C&C-сервер, используя URL-адрес в разделе реестра Sendvmd. Данные, отправляемые на C&C-сервер, шифруются в Base64.

По словам исследователей, данные операции могут быть частью атак по цепочке поставок, а конечной целью является получение доступа к сетям некоторых клиентов IT-провайдеров.

IT-провайдеры являются идеальной мишенью для преступников, поскольку имеют высокий уровень доступа к компьютерам своих клиентов. Этот доступ может дать им возможность отправлять вредоносные обновления программного обеспечения на целевые машины и даже предоставлять удаленный доступ к клиентским машинам. Это обеспечивает доступ к сетям жертв без необходимости подвергать риску сами сети, что может быть невозможно при наличии надежной инфраструктуры безопасности, а также снижает риск обнаружения атаки.

20 сентября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

07.07.2026
Apple ускоряет выпуск ИБ-обновлений в ответ на ИИ-риски
07.07.2026
«Значимые действия» всё же будут подтверждать через MAX?
07.07.2026
ЛК: Почти треть глобального промсектора пострадала от ИИ-атак
07.07.2026
Касперская и Ашманов — о «крахе отечественной отрасли ИИ»
07.07.2026
Штраф до 1,4 млн рублей — за авторизацию через иностранные сервисы
06.07.2026
Вступление в силу крипторегулирующего закона сдвинули на 1 сентября
06.07.2026
Минцифры получит 20 новых полномочий (?)
06.07.2026
В NCSC объяснили, как усложнить работу атакующим
06.07.2026
Лжеагенты Интерпола заражают ИТ-системы предпринимателей зловредом
06.07.2026
Microsoft уволит тысячи сотрудников, чтобы тратить миллиарды на ИИ

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных