Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новая скрытая угроза Cloaked Shadow

2 мин
Изображение: recraft Эксперты из RED Security и CICADA8 зафиксировали активность новой кибергруппировки, получившей наименование Cloaked Shadow. По данным специалистов, она действует с явным прицелом на ИТ-сектор и предприятия промышленной направленности, организуя глубоко продуманные операции, ориентированные на скрытую разведку внутри инфраструктур. Исследователи подчёркивают, что злоумышленники обладают высоким уровнем подготовки, действуют незаметно и обходят средства защиты с использованием продвинутых методов маскировки. Вход в инфраструктуру осуществляется через уязвимые компоненты внешних сервисов, а дальнейшее продвижение обеспечивается за счёт применения легальных инструментов с открытым исходным кодом. Такие утилиты не вызывают тревоги у систем защиты, что позволяет хакерам беспрепятственно укреплять свои позиции. Внутри взломанных систем группировка адаптирует тактику под конкретную среду: на Linux-машинах создаются фальшивые службы, на Windows-устройствах запускаются запла

Изображение: recraft

Эксперты из RED Security и CICADA8 зафиксировали активность новой кибергруппировки, получившей наименование Cloaked Shadow. По данным специалистов, она действует с явным прицелом на ИТ-сектор и предприятия промышленной направленности, организуя глубоко продуманные операции, ориентированные на скрытую разведку внутри инфраструктур.

Исследователи подчёркивают, что злоумышленники обладают высоким уровнем подготовки, действуют незаметно и обходят средства защиты с использованием продвинутых методов маскировки. Вход в инфраструктуру осуществляется через уязвимые компоненты внешних сервисов, а дальнейшее продвижение обеспечивается за счёт применения легальных инструментов с открытым исходным кодом. Такие утилиты не вызывают тревоги у систем защиты, что позволяет хакерам беспрепятственно укреплять свои позиции.

Внутри взломанных систем группировка адаптирует тактику под конкретную среду: на Linux-машинах создаются фальшивые службы, на Windows-устройствах запускаются запланированные задачи. После этого начинается этап захвата контроля: злоумышленники применяют легитимные учётные записи, похищают содержимое процесса lsass, эксплуатируют уязвимости ESC и извлекают файл ntds.dit, содержащий сведения обо всех пользователях домена.

Cloaked Shadow последовательно строит маршрут внутри сети, переходя от одного сервера к другому, углубляясь в инфраструктуру. С этого момента начинается активная утечка информации. В зону риска попадают пользовательские директории, архивы документов, пароли, криптографические ключи, сертификаты и прочие важные данные. Чтобы их присутствие осталось незамеченным, злоумышленники отключают системный аудит, удаляют события из журналов, внедряют вредоносные процессы в системные и подменяют сетевые идентификаторы.

Особое внимание исследователи обратили на факт применения собственной вредоносной программы. Этот инструмент настраивается индивидуально под каждую цель, постоянно дорабатывается и меняет структуру. Такая избирательность в действиях указывает на целевую направленность атак, а не на массовую автоматизированную кампанию.

Оригинал публикации на сайте CISOCLUB: "Хакеры Cloaked Shadow проникают в российские ИТ и промышленные компании, используя кастомизированный вредонос".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.