Одна уязвимость = целиком зараженная инфраструктура: история одной атаки Indrik Spider

Опубликовано at 15:23
96 0

ИБ-компания Crowdstrike рассказала в своем отчете Cyber Intrusion Services Casebook 2018 про случай, когда всего через один зараженный в интернет-кафе ноутбук преступникам Indrik Spider удалось скомпрометировать всю инфраструктуру и получить доступ к десяткам систем.

Исследователи не приводят название пострадавшей компании, охарактеризовав ее лишь как «производителя одежды с магазинами по всему миру». По словам специалистов, заражение произошло таким образом: сотрудник фирмы взял корпоративный ноутбук с собой в кофейню и открыл на нем сайт одного из партнеров компании (из текста не вполне ясно, фальшивый или настоящий – прим. АКБ), на который его привело фишинговое письмо.

Сайт был заражен вредоносным ПО FakeUpdates, которое ранее в этом году распространялось в ходе масштабной кампании, затронувшей тысячи сайтов на Joomla и WordPress. Зловред загрузил на ноутбук сотрудника банковский троян Dridex и набор инструментов PowerShell Empire, которые остались незамеченными установленным антивирусом, поскольку он полагался на корпоративную сеть для обнаружения угроз.

Вредоносное ПО было найдено только по возвращении в офис компании, но к тому времени злоумышленники уже проникли в сеть, скомпрометировали всю инфраструктуру и получили доступ к десяткам систем с помощью эксплоита PowerShell. Эксперты уточняют, что, используя утилиту Mimikatz, атакующие смогли собрать учетные данные, получить доступ к серверам, в том числе к серверам розничных магазинов, а также установить PoS-вредонос Framework, предназначенный для кражи данных кредитных карт.

Организатором атаки, по мнению Crowdstrike, была нруппировка Indrik Spider, действующая с 2014 года и в основном известная распространением вымогательского ПО BitPaymer, которое, как полагают эксперты, принесло своим операторам миллионы долларов.

Читайте также на АКБ как сотрудник американской госслужбы с невероятно ироничным названием EROS (Earth Resources Observation and Science) просмотрел на рабочем месте девять тысяч страниц с порнографией и заразил правительственную компьютерная сеть в США. А также как собираются радикально бороться с зараженными «флэшками» в российской армии.

Подписываемся, следим @CyberAgency

Related Post

9 миллионов готовых для любой атаки киберсолдат: познакомьтесь с самым беспечным производителем электроники в мире

Опубликовано - 10.10.2018 0
Эксперты по кибербезопасности из SEC Consult обнаружили неожиданно крупную рыбу. Речь идет об устройствах Hangzhou Xiongmai Technology, выпускаемых под различными…

Добавить комментарий