Cyber Warfare, APT34 / OilRig і APT33 / Elfin співпрацювали в кампанії Fox Kitten

Фото:
Cyber Warfare, APT34 / OilRig і APT33 / Elfin співпрацювали в кампанії Fox Kitten
Тип статті:
Переклад

За оцінками ClearSky, пов'язані з Іраном групи APT (APT34 / OilRig і APT33 / Elfin) співпрацювали в кампанії Fox Foxten. Вони вражають десятки компаній і організацій в Ізраїлі і по всьому світу

 Пов'язані з Іраном APT34 / OilRig і APT33 / Elfin співпрацюють в рамках «Кампанії Fox Fox». Це було виявлено експертами з кібербезпеки ClearSky, В останні три роки кампанія проводиться проти десятків компаній і організацій в Ізраїлі і по всьому світу. Більш того, APT вдалося отримати доступ і міцну опору в мережах численних компаній і організацій з секторів інформаційних технологій, телекомунікацій, нафти і газу, авіації, уряду і безпеки. Кампанія використовувалася в якості розвідувальної інфраструктури, однак вона також може використовуватися в якості платформи для поширення і активації шкідливих програм, таких як ZeroCleare і Dustman, пов'язаних з APT34. Детально, її інфраструктура використовувалася для розробки і підтримки маршрутів доступу до цільових організацій, крадіжки цінної інформації від цільових організацій, підтримки довгострокової позиції в цільових організаціях і злому додаткових компаній за допомогою атак по ланцюжку поставок.

Найбільш успішний і значний вектор атак, який використовується іранськими APT, — це використання відомих вразливостей в системах з непатентованими службами VPN і RDP.

   Експерти з кібербезпеки підтверджують, що найбільш успішним і значним вектором атак, які використовуються APT34 / OilRig і APT33 / Elfin, була експлуатація відомих вразливостей в системах з непатентованими службами VPN і RDP. Це необхідно для того, щоб проникнути і взяти під контроль важливі корпоративні інформаційні сховища. Цей вектор атаки використовується не тільки іранськими групами APT. Він став головним  для інших груп кіберзлочинності, атак здирників і інших спонсорованих державою наступальних груп. Цей вектор атаки буде істотним і в 2020 році, очевидно, за рахунок використання нових вразливостей в VPN та в інших віддалених системах (таких як остання з існуючих в Citrix). Іранські групи APT також розвинули хороші технічні можливості для наступу і можуть використовувати уразливості  протягом коротких періодів часу, від декількох годин до тижня або двох.

Існує висока ймовірність того, що APT34 і APT33 спільно використовують інфраструктури атак.

  З 2017 року ClearSky виявляє іранські групи APT, що спеціалізуються на ІТ-компаніях, які надають широкий спектр послуг тисячам компаній. Проникнення в ці організації є особливо цінні, тому що через них можна отримати доступ до мереж додаткових компаній. Після злому зловмисники зазвичай підтримують точку опори і операційну надмірність, встановлюючи і створюючи ще кілька точок доступу до основної корпоративної мережі. Дослідники також із високою ймовірністю оцінюють, що іранські групи APT (APT34 і APT33) спільно використовують інфраструктури атак. Крім того, це може бути одна група, яка була штучно відзначена в останні роки як дві або три окремі групи APT. Час, необхідний для ідентифікації зловмисника в скомпрометованої мережі, великий і варіюється від декількох місяців.

RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|