Киберпреступная группировка Tortoiseshell атаковала саудовские IT-компании - «Происшествия»

Добавлено 20-сен-2019, 00:17 От Kirk

За последние 14 месяцев киберпреступная группировка Tortoiseshell атаковала по меньшей мере 11 IT-компаний, большинство из которых расположены в Саудовской Аравии. По словам исследователей из компании Symantec, целью злоумышленников, предположительно, является компрометация клиентов компаний.
В некоторых случаях злоумышленникам удалось получить привилегии администратора, а также заразить несколько сотен компьютеров в попытках найти нужные им данные, такие как IP-адреса и информацию о сетевых подключениях.
Группировка взяла на вооружение вредоносное ПО под названием Backdoor.Syskit, разработанный в версиях на языках Delphi и.NET. С помощью данного бэкдора преступники могут загружать и выполнять дополнительные инструменты и команды. Для установки Backdoor.Syskit запускается с помощью параметра «-install». Вредоносная программа собирает и отправляет IP-адреса, данные о названии и версии используемой ОС, а также Mac-адреса на C&C-сервер, используя URL-адрес в разделе реестра Sendvmd. Данные, отправляемые на C&C-сервер, шифруются в Base64.
По словам исследователей, данные операции могут быть частью атак по цепочке поставок, а конечной целью является получение доступа к сетям некоторых клиентов IT-провайдеров.
IT-провайдеры являются идеальной мишенью для злоумышленников, поскольку имеют высокий уровень доступа к компьютерам своих клиентов. Этот доступ может дать им возможность отправлять вредоносные обновления программного обеспечения на целевые машины и даже предоставлять удаленный доступ к клиентским машинам. Это обеспечивает доступ к сетям жертв без необходимости подвергать риску сами сети, что может быть невозможно при наличии надежной инфраструктуры безопасности, а также снижает риск обнаружения атаки.

•••

Реконструкция первого этажа стала адом для жителей дома

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.