В России выявлена новая киберпреступная группировка, которая при атаке на организации деактивирует средства защиты. Злоумышленники используют уязвимость в программном обеспечении, предназначенном для дистанционного администрирования компьютеров, проникают в корпоративные сети и загружают вредоносные программы.
Как сообщили эксперты изданию «Известия», подобные уязвимости остались в системах многих компаний ещё со времён массового перехода на удалённую работу в период пандемии. Используя эту брешь, атакующие способны отключать практически любой антивирус.
Специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар» зафиксировали появление группировки, которая во время атак на российские организации целенаправленно выводит из строя защитное ПО.
В ходе анализа атак выяснилось, что киберпреступники проникают в корпоративные сети через уязвимость в DameWare Mini Remote Control — инструменте для удалённого управления ПК. Со времён пандемии этот порт остался открытым во внешнюю сеть на некоторых системах, что и позволяет злоумышленникам получить доступ.
Исследователи отметили, что обнаружили несколько атак, где применялся один и тот же метод — проникновение через порт удалённого администрирования. Это позволяет отключать защитные механизмы независимо от разработчика антивирусного программного обеспечения.
Во время атаки на одно из промышленных предприятий кибергруппа поместила вредоносный файл в папку административного агента антивируса и деактивировала решение от «Лаборатории Касперского». Представители «Солар» сообщили разработчику о выявленной угрозе, после чего компания оперативно усилила механизмы самозащиты и выпустила обновления.
Специалисты указали, что среди функций вредоносного кода присутствовала возможность отключения MiniFilter — технологии, применяемой в Windows для анализа активности в файловой системе. Этот механизм помогает защитным программам отслеживать операции, выявлять подозрительное поведение, контролировать приложения и анализировать потенциальные угрозы.
Кроме того, MiniFilter используется для предотвращения несанкционированного доступа к антивирусному ПО. В процессе атаки вредоносный драйвер регистрирует свой собственный фильтр, который подменяет стандартную защитную функцию фиктивным кодом. В результате антивирус теряет возможность мониторинга, а злоумышленники получают беспрепятственный доступ к системе и могут загружать вредоносные программы.
Оригинал публикации на сайте CISOCLUB: "Хакеры отключают пользовательский антивирус для скрытия кибератаки".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.