ИБ-эксперты компании Symantec обнаружили глобальную киберпреступную кампанию, которая нацелена на организации промышленной отрасли. В процессе проведения атаки киберпреступники активно используют уязвимость Zerologon.
Специалисты из Symantec убеждены, что за проводимыми кибератаками стоят хакеры из группировки Cicada, которая также известна под названиями APT10, Stone Panda и Cloud Hopper.
Исследователи смогли подтвердить факт проведения атак со стороны этой хакерской группы с использованием уязвимости Zerologon на организации из различных регионов мира (в общей сложности 17 регионов), занятых в следующих сферах деятельности:
- автомобильная;
- фармацевтическая;
- инженерная;
- удаленное управление (MSP).
По информации Symantec, группировка Cicada активно действует с октября 2019 года. Начавшаяся тогда волна кибератак продолжалась как минимум до середины октября 2020 года.
Специалисты Symantec отмечают, что хакеры имеют отличное обеспечение всеми необходимыми ресурсами, что позволяет использовать им различные современные инструменты и техники: боковая загрузка DLL, сетевая разведка, кража учетных данных, утилиты командной строки, способность устанавливать корневые сертификаты браузера, декодировать данные, реализовывать сценарии PowerShell. И даже использоваться в своих атаках легитимных поставщиков облачных хостингов для загрузки, упаковки, извлечения украденной информации.
Несколько месяцев назад в инструментарий хакерской группы Cicada была добавлен инструмент, который способен активно эксплуатировать уязвимость Zerologon. Уязвимость CVE-2020-1472 имеет рейтинг 10 из 10 CVSS, была обнаружена и раскрыта корпорацией Microsoft в августе 2020 года. Ее можно использовать для подделки учетных записей контроллеров домена и взлома доменов, для компрометации служб идентификации Active Directory.
«Очевидно, что хакеры из Cicada имеют доступ к огромному количеству ресурсов, с помощью которых они проводят крупномасштабные и сложные киберпреступные операции. Группировка остается одной из наиболее опасных в мире. Использование ими инструмента для эксплуатации уязвимости Zerologon и настраиваемого бэкдора демонстрирует, что группа активно развивает свой инструментарий и тактики для нацеливания на своих жертв», – говорится в исследовании компании Symantec.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
