Журнал ПЛАС » Без рубрики »

«Лаборатория Касперского» обнаружила атаки на государственные и оборонные предприятия в России

Атаки проводятся кибергруппой ToddyCat, которая усилила свою активность в феврале-марте 2021 года.

«Лаборатория Касперского» обнаружила атаки на государственные и оборонные предприятия в России

«Лаборатория Касперского» обнаружила, что с 2021 года кибергруппа ToddyCat проводит сложные целевые атаки на государственные организации и предприятия оборонного сектора Европы и Азии, в том числе России. Атакующие компрометируют серверы Microsoft Exchange с помощью неизвестного эксплойта и уязвимости ProxyLogon. При этом используются уникальные бэкдор Samurai и троянец Ninja — два продвинутых инструмента для кибершпионажа. Они разработаны таким образом, чтобы после проникновения в целевые сети долго находиться на глубоких уровнях, оставаясь незамеченными.

Сейчас нет более точных данных о том, как происходит первоначальное заражение. Впервые атаки ToddyCat исследователи «Лаборатории Касперского» заметили в декабре 2020 года. В феврале-марте 2021 года они зафиксировали резкое усиление активности группы: атакующие начали использовать уязвимость ProxyLogon в серверах Microsoft Exchange для атак на компании в Европе и Азии. С сентября 2021 года группа переключила свое внимание на компьютеры в сетях азиатских государственных органов и дипломатических представительств.

Samurai — это модульный бэкдор, компонент финальной стадии атаки, который позволяет атакующему управлять удаленной системой и перемещаться по скомпрометированной сети. Особенность зловреда в том, что он использует множественный поток команд и операторы выбора, чтобы переключаться с одной инструкции на другую. Это затрудняет отслеживание порядка действий в коде. Также Samurai используется для запуска ещё одной вредоносной программы, троянца Ninja, который позволяет работать одновременно на одном устройстве многим операторам.

Троянец Ninja предоставляет широкий набор команд, которые позволяют атакующим контролировать удаленные системы, избегая детектирования. Обычно команды загружаются в память устройства и запускаются разными загрузчиками. Сначала Ninja восстанавливает параметры конфигурации из зашифрованной нагрузки, а затем глубоко проникает в скомпрометированную сеть. Зловред может управлять файловыми системами, запускать обратное подключение (reverse shell), отправлять TCP-пакеты и даже брать сеть под контроль в определённые периоды времени.

Ninja имеет сходство с известными фреймворками для постэксплуатации, такими как CobaltStrike, поскольку обладает возможностью без доступа к интернету ограничивать число прямых обращений из целевой сети к удалённым командно-контрольным системам. Вдобавок зловред может контролировать индикаторы HTTP и прятать вредоносный трафик в HTTP-запросах под видом легитимного с помощью изменения заголовков HTTP и пути URL-адресов. Эти возможности позволяют троянцу Ninja скрываться особенно хорошо.

«ToddyCat — это продвинутая кибергруппа с высокими техническими навыками, которая способна оставаться незамеченной и проникать в крупные известные организации. В течение прошлого года мы обнаружили множество загрузчиков и атак, но у нас всё ещё нет полной картины их операций и тактик. ToddyCat использует особенно сложное вредоносное ПО. Наиболее эффективно противостоять ему можно, если использовать многоуровневую защиту — тщательно мониторить внутренние ресурсы и отслеживать аналитические данные о киберугрозах», — комментирует Мария Наместникова, руководитель российского исследовательского центра «Лаборатории Касперского».

Чтобы защититься от сложных кибератак, «Лаборатория Касперского» рекомендует компаниям:

  • предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах;
  • внедрять EDR-решения для обнаружения угроз на конечных устройствах, расследования и своевременного восстановления после инцидентов;
  • в дополнение к основным защитным продуктам использовать решение корпоративного уровня, способное детектировать продвинутые угрозы на сетевом уровне на ранней стадии;
  • обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии.
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных