Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Техники, тактики и процедуры атак на промышленные компании. Импланты для удаленного доступа

3
2 мин
«Лаборатория Касперского» представила детальный отчет, посвященный техникам, тактикам и процедурам кибератак на промышленные компании, а также использованию имплантов для удаленного доступа. Эксперты по кибербезопасности сообщили, что в 2022 году они расследовали несколько кибератак, проведенных против восточноевропейских промышленных предприятий. В ходе этих атак злоумышленники старались создать непрерывно работающий канал для вывода украденной конфиденциальной информации, включая данные, которые размещались на физически изолированных системах. В рамках этой киберпреступной операции хакеры осуществляли вывод украденной информации и доставку вредоносного софта на следующем этапе через облачные хранилища данных, такие как Яндекс.Диск и Dropbox, а также через файлообменные сервисы. Помимо этого, они использовали командные серверы, размещенные на облачных виртуальных выделенных серверах. Киберпреступники также применяли стек имплантов, которые могли собирать информацию с физически изолиро

«Лаборатория Касперского» представила детальный отчет, посвященный техникам, тактикам и процедурам кибератак на промышленные компании, а также использованию имплантов для удаленного доступа. Эксперты по кибербезопасности сообщили, что в 2022 году они расследовали несколько кибератак, проведенных против восточноевропейских промышленных предприятий.

В ходе этих атак злоумышленники старались создать непрерывно работающий канал для вывода украденной конфиденциальной информации, включая данные, которые размещались на физически изолированных системах.

В рамках этой киберпреступной операции хакеры осуществляли вывод украденной информации и доставку вредоносного софта на следующем этапе через облачные хранилища данных, такие как Яндекс.Диск и Dropbox, а также через файлообменные сервисы. Помимо этого, они использовали командные серверы, размещенные на облачных виртуальных выделенных серверах.

Киберпреступники также применяли стек имплантов, которые могли собирать информацию с физически изолированных сетей, используя зараженные сменные носители данных. Многие такие импланты имели схожие реализации техники подмены DLL, часто связанные с вредоносным ПО Shadowpad, и способы внедрения в память, а также шифрование RC4, за счёт которого злоумышленники могли скрыть вредоносную нагрузку, минуя обнаружение. Помимо этого, библиотеки, такие как libssl.dll или libcurl.dll, были статически привязаны к имплантам для реализации шифрованного обмена информацией с сервером управления.

В общей сложности «Лаборатория Касперского» выявила более 15 разновидностей имплантов, установленных киберпреступниками в различных комбинациях. Эти импланты были разделены на три категории, основываясь на их функциональности:

  • импланты первого этапа обеспечивали непрерывный удаленный доступ и первичный сбор информации;
  • импланты второго этапа собирали данные и файлы, в том числе с физически изолированных систем;
  • импланты третьего этапа служили инструментами для выгрузки информации на командные серверы.

В представленном отчете проанализированы распространенные тактики, техники и процедуры, используемые киберпреступниками в имплантах на разных этапах для организации непрерывного канала для удаленного доступа к инфраструктуре промышленных предприятий.

Полный текст отчета доступен на портале Kaspersky.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются