За последние 14 месяцев киберпреступная группировка Tortoiseshell атаковала по меньшей мере 11 IT-компаний, большинство из которых расположены в Саудовской Аравии. По словам исследователей Symantec, целью хакеров, предположительно, является компрометация клиентов компаний.

В некоторых случаях злоумышленникам удалось получить привилегии администратора, а также заразить несколько сотен компьютеров в попытках найти нужные им данные, такие как IP-адреса и информацию о сетевых подключениях.

Группа взяла на вооружение вредоносное ПО под названием Backdoor.Syskit, разработанный в версиях на языках Delphi и .NET. С помощью данного бэкдора хакеры могут загружать и выполнять дополнительные инструменты и команды. Для установки Backdoor.Syskit запускается с помощью параметра «-install». Вредонос собирает и отправляет IP-адреса, данные о названии и версии используемой ОС, а также Mac-адреса на C&C-сервер, используя URL-адрес в разделе реестра Sendvmd. Данные, отправляемые на C&C-сервер, шифруются в Base64.

По словам исследователей, данные операции могут быть частью атак по цепочке поставок, а конечной целью является получение доступа к сетям некоторых клиентов IT-провайдеров.

IT-провайдеры являются идеальной мишенью для преступников, поскольку имеют высокий уровень доступа к компьютерам своих клиентов. Этот доступ может дать им возможность отправлять вредоносные обновления программного обеспечения на целевые машины и даже предоставлять удаленный доступ к клиентским машинам. Это обеспечивает доступ к сетям жертв без необходимости подвергать риску сами сети, что может быть невозможно при наличии надежной инфраструктуры безопасности, а также снижает риск обнаружения атаки.

20 сентября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных