Одна уязвимость = целиком зараженная инфраструктура: история одной атаки Indrik Spider

Опубликовано at 15:23
383 0

ИБ-компания Crowdstrike рассказала в своем отчете Cyber Intrusion Services Casebook 2018 про случай, когда всего через один зараженный в интернет-кафе ноутбук преступникам Indrik Spider удалось скомпрометировать всю инфраструктуру и получить доступ к десяткам систем.

Исследователи не приводят название пострадавшей компании, охарактеризовав ее лишь как «производителя одежды с магазинами по всему миру». По словам специалистов, заражение произошло таким образом: сотрудник фирмы взял корпоративный ноутбук с собой в кофейню и открыл на нем сайт одного из партнеров компании (из текста не вполне ясно, фальшивый или настоящий – прим. АКБ), на который его привело фишинговое письмо.

Сайт был заражен вредоносным ПО FakeUpdates, которое ранее в этом году распространялось в ходе масштабной кампании, затронувшей тысячи сайтов на Joomla и WordPress. Зловред загрузил на ноутбук сотрудника банковский троян Dridex и набор инструментов PowerShell Empire, которые остались незамеченными установленным антивирусом, поскольку он полагался на корпоративную сеть для обнаружения угроз.

Вредоносное ПО было найдено только по возвращении в офис компании, но к тому времени злоумышленники уже проникли в сеть, скомпрометировали всю инфраструктуру и получили доступ к десяткам систем с помощью эксплоита PowerShell. Эксперты уточняют, что, используя утилиту Mimikatz, атакующие смогли собрать учетные данные, получить доступ к серверам, в том числе к серверам розничных магазинов, а также установить PoS-вредонос Framework, предназначенный для кражи данных кредитных карт.

Организатором атаки, по мнению Crowdstrike, была нруппировка Indrik Spider, действующая с 2014 года и в основном известная распространением вымогательского ПО BitPaymer, которое, как полагают эксперты, принесло своим операторам миллионы долларов.

Читайте также на АКБ как сотрудник американской госслужбы с невероятно ироничным названием EROS (Earth Resources Observation and Science) просмотрел на рабочем месте девять тысяч страниц с порнографией и заразил правительственную компьютерная сеть в США. А также как собираются радикально бороться с зараженными «флэшками» в российской армии.

Подписываемся, следим @CyberAgency

Related Post

Firefox заблокировал браузерную дактилоскопию

Опубликовано - 01.11.2017 0
Firefox скоро предоставит пользователям систему с повышенным уровнем конфиденциальности, в которой будет заблокировано использование браузерной индентификации, выполняемой через элемент канвас…

Криптобиржу Bancor обнесли на $23,5 млн

Опубликовано - 10.07.2018 0
Неизвестная группировка хакеров взломала технический кошелек биржи Bancor и похитила средства сразу в нескольких криптовалютах. Как сообщают представители биржи, хакеры…

Добавить комментарий