Сисадминам на заметку: Head Mare & Twelve - Техника Проникновения и Закрепления в Российских Сетях

МЕНЮ

Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей

ТЕМЫ

Новости ИИРазработка ИИВнедрение ИИРабота разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика

Авторизация

RSS

RSS новости

2025-03-25 12:12

киберугрозы

Эксперты Kaspersky бьют тревогу: две опасные группировки, Head Mare (известная программами-вымогателями) и Twelve (специалисты по вайперам), объединили усилия для проведения атак на российские организации. Главная новость в том, что они теперь используют общую инфраструктуру управления и контроля, а также обмениваются инструментами, что значительно повышает эффективность их атак.

Анализ показывает, что для проникновения в системы злоумышленники активно используют как уже известные уязвимости, такие как WinRAR (CVE-2023-38831) и, что особенно важно, до сих пор не пропатченные серверы Exchange (CVE-2021-26855). Кроме того, они не пренебрегают фишингом и все чаще атакуют через подрядчиков, используя уязвимости в цепочке поставок.

Для закрепления в скомпрометированных системах, атакующие применяют хитрый ход: вместо привычных запланированных задач, они создают новые, но привилегированные локальные учетные записи на серверах бизнес-автоматизации. Это позволяет им получать RDP-доступ и интерактивно управлять зараженными машинами. Также для постоянного удаленного доступа используется Localtonet.

В арсенале объединенной группировки - бэкдоры CobInt и PhantomJitter, ransomware LockBit/Babuk, а также широкий набор стандартных админских утилит, включая Mimikatz, RDP и Rclone. Для маскировки своей активности, злоумышленники искусно прячутся под видом легитимных системных файлов, активно чистят логи и применяют туннелирование трафика.

Что делать в этой ситуации? В первую очередь, усилить мониторинг вашей сети и систем, обращая внимание на признаки активности этих групп. Особое внимание уделите защите от фишинга и проверке безопасности ваших подрядчиков. Крайне важно немедленно установить все необходимые патчи, особенно для WinRAR и Exchange, и проверить работоспособность ваших бэкапов и планов восстановления. Ужесточите контроль доступа, особенно для удаленных подключений и подрядчиков.

Будьте предельно бдительны! Сотрудничество Head Mare и Twelve выводит киберугрозы на новый уровень. Подробности, включая полный список индикаторов компрометации, ищите в отчете Kaspersky.

Короче, пятница отменяется. Работа сисадмина становится все интереснее и интереснее. Теперь нужно не только за пользователями следить, но и за целыми киберпреступными синдикатами. Главное, чтобы зарплату за "интересность" тоже повысили ?

-—

P.S. Похоже, пора уже классифицировать "компрометацию подрядчика" как легитимный вектор пентеста.


Источник: vk.com

Комментарии: