Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Уязвимость Zyxel: Атака хакеров на корпоративные сети

9
2 мин
Недавний отчет подчеркивает растущую угрозу кибератак, в частности, использование уязвимостей устройств Zyxel для получения несанкционированного доступа к корпоративным сетям. Хакеры, воспользовавшись этой уязвимостью, предпринимали действия, направленные на шантаж компаний, угрожая публикацией конфиденциальных данных или шифрованием систем с помощью программ-вымогателей. Атака началась с того, что злоумышленники получили административный доступ к консоли брандмауэра Zyxel. Используя это преимущество, они смогли собрать учетные данные, необходимые для дальнейшего вторжения в инфраструктуру организации. Для скрытия своего местоположения хакеры использовали VPN-сервисы, такие как Mullvad VPN и NordVPN, что позволяло им маскировать своё присутствие в той же стране, что и их цели. Для реализации атаки были применены следующие инструменты: Кибератака была связана с группой программ-вымогателей «Helldown», известной своей тактикой двойного вымогательства и утечки данных. В процессе реализаци
Оглавление
Изображение: labs.yarix.com
Изображение: labs.yarix.com

Недавний отчет подчеркивает растущую угрозу кибератак, в частности, использование уязвимостей устройств Zyxel для получения несанкционированного доступа к корпоративным сетям. Хакеры, воспользовавшись этой уязвимостью, предпринимали действия, направленные на шантаж компаний, угрожая публикацией конфиденциальных данных или шифрованием систем с помощью программ-вымогателей.

Механизм атаки

Атака началась с того, что злоумышленники получили административный доступ к консоли брандмауэра Zyxel. Используя это преимущество, они смогли собрать учетные данные, необходимые для дальнейшего вторжения в инфраструктуру организации.

Применяемые технологии

Для скрытия своего местоположения хакеры использовали VPN-сервисы, такие как Mullvad VPN и NordVPN, что позволяло им маскировать своё присутствие в той же стране, что и их цели. Для реализации атаки были применены следующие инструменты:

  • Advanced IP Scanner
  • Файлы-вымогатели, включая «enc-esxi»
  • OpenSSH для перемещения по серверам ESXi

Группа программ-вымогателей «Helldown»

Кибератака была связана с группой программ-вымогателей «Helldown», известной своей тактикой двойного вымогательства и утечки данных. В процессе реализации атаки злоумышленники внедрили несколько вариантов программ-вымогателей:

  • e_win.exe — для шифрования данных на серверах ESXi;
  • LB3.exe — внедрен в системы Windows;
  • Программа-вымогатель «enc-esxi» для серверов ESXi.

Методы шантажа и угрозы

После завершения шифрования данных хакеры оставляли уведомление о требовании оплаты с контактными данными для переговоров. Для усиления своих действий использовались уязвимости, такие как:

  • T1190 — Уязвимость общедоступного приложения (брандмауэр Zyxel);
  • T1078.001 — Учетные записи по умолчанию;
  • T1053.005 — Запланированное задание;
  • T1059.004 — Оболочка Unix;
  • T1003 — Mimikatz для сброса учетных данных операционной системы.

Заключение

Данный отчет ясно показывает, что кибератаки на корпоративные сети становятся всё более распространенным злом. Злоумышленники используют сложные техники и инструменты, чтобы получить доступ к данным и шантажировать организации. Необходимы активные меры для повышения уровня кибербезопасности и защищенности сетевой инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Уязвимость Zyxel: Атака хакеров на корпоративные сети".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются