Кіберзлочинне угруповання TORTOISESHELL атакувало саудівські IT-компанії.

15:03
Кіберзлочинне угруповання TORTOISESHELL атакувало саудівські IT-компанії.

  За останні 14 місяців кіберзлочинне угруповання Tortoiseshell атакувало щонайменше 11 IT-компаній, більшість з яких розташовані в Саудівській Аравії. За словами дослідників з компанії Symantec, метою зловмисників, імовірно, є компрометація клієнтів компаній.

    У деяких випадках зловмисникам вдалося отримати привілеї адміністратора, а також заразити кілька сотень комп'ютерів в спробах знайти потрібні їм дані, такі як IP-адреси і інформацію про з'єднання з мережею.
   Угруповання взяло на озброєння шкідливе ПЗ під назвою Backdoor.Syskit, розроблений в версіях на мовах Delphi і .NET. За допомогою даного бекдора злочинці можуть завантажувати і виконувати додаткові інструменти і команди. Для установки Backdoor.Syskit запускається за допомогою параметра «-install». Шкідлива програма збирає і відправляє IP-адреси, дані про назву і версії використовуваної ОС, а також Mac-адреси на C & C-сервер, використовуючи URL-адресу в розділі реєстру Sendvmd. Дані, що відправляються на C & C-сервер, шифруються в Base64.
   За словами дослідників, дані операції можуть бути частиною атак по ланцюжку поставок, а кінцевою метою є отримання доступу до мереж деяких клієнтів IT-провайдерів.
    IT-провайдери є ідеальною мішенню для зловмисників, оскільки мають високий рівень доступу до комп'ютерів своїх клієнтів. Цей доступ може дати їм можливість відправляти шкідливі оновлення програмного забезпечення на цільові машини і навіть надавати віддалений доступ до клієнтських машин. Це забезпечує доступ до мереж жертв без необхідності піддавати ризику самі мережі, що може бути неможливо при наявності надійної інфраструктури безпеки, а також знижує ризик виявлення атаки.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.