Одна уязвимость = целиком зараженная инфраструктура: история одной атаки Indrik Spider

Опубликовано at 15:23
64 0

ИБ-компания Crowdstrike рассказала в своем отчете Cyber Intrusion Services Casebook 2018 про случай, когда всего через один зараженный в интернет-кафе ноутбук преступникам Indrik Spider удалось скомпрометировать всю инфраструктуру и получить доступ к десяткам систем.

Исследователи не приводят название пострадавшей компании, охарактеризовав ее лишь как «производителя одежды с магазинами по всему миру». По словам специалистов, заражение произошло таким образом: сотрудник фирмы взял корпоративный ноутбук с собой в кофейню и открыл на нем сайт одного из партнеров компании (из текста не вполне ясно, фальшивый или настоящий – прим. АКБ), на который его привело фишинговое письмо.

Сайт был заражен вредоносным ПО FakeUpdates, которое ранее в этом году распространялось в ходе масштабной кампании, затронувшей тысячи сайтов на Joomla и WordPress. Зловред загрузил на ноутбук сотрудника банковский троян Dridex и набор инструментов PowerShell Empire, которые остались незамеченными установленным антивирусом, поскольку он полагался на корпоративную сеть для обнаружения угроз.

Вредоносное ПО было найдено только по возвращении в офис компании, но к тому времени злоумышленники уже проникли в сеть, скомпрометировали всю инфраструктуру и получили доступ к десяткам систем с помощью эксплоита PowerShell. Эксперты уточняют, что, используя утилиту Mimikatz, атакующие смогли собрать учетные данные, получить доступ к серверам, в том числе к серверам розничных магазинов, а также установить PoS-вредонос Framework, предназначенный для кражи данных кредитных карт.

Организатором атаки, по мнению Crowdstrike, была нруппировка Indrik Spider, действующая с 2014 года и в основном известная распространением вымогательского ПО BitPaymer, которое, как полагают эксперты, принесло своим операторам миллионы долларов.

Читайте также на АКБ как сотрудник американской госслужбы с невероятно ироничным названием EROS (Earth Resources Observation and Science) просмотрел на рабочем месте девять тысяч страниц с порнографией и заразил правительственную компьютерная сеть в США. А также как собираются радикально бороться с зараженными «флэшками» в российской армии.

Подписываемся, следим @CyberAgency

Related Post

Расхитительница «телег». Досье на судью, запретившую мессенджер Дурова

Опубликовано - 13.04.2018 0
37-летняя судья Юлия Михайловна Смолина специализируется на гражданских делах. Последние три десятка дел связаны с вьетнамцами. На сайте “Суды России”…

Лаборатория Касперского начнет инициативу прозрачности в 2018 году

Опубликовано - 23.10.2017 0
Фирма кибербезопасности «Лаборатория Касперского» начала международную инициативу прозрачности, чтобы вернуть доверие после обвинения в содействии российской разведке и доказать, что…

Добавить комментарий