Спецслужбы предупредили об атаках «русских хакеров» на организации в США и Европе

Пт 2 Июль 2021 05:59

Спецслужбы США и Великобритании выпустили совместное предупреждение о серии брут-форс атак, направленных на облачные ресурсы правительственных организаций и частных компаний, включая исследовательские центры, подрядчиков в области оборонной промышленности, энергетические компании и пр.

Согласно заявлению, опубликованному АНБ США, Агентством по кибербезопасности и безопасности инфраструктуры США (CISA), ФБР и британским центром национальной кибербезопасности, атаки являются делом рук связываемой с РФ хакерской группировки APT28 (Fancy Bear) и продолжаются по меньшей мере с середины 2019 года.

В атаках хакеры использовали кластер Kubernetes для осуществления масштабных анонимных брут-форс атак на сотни правительственных организаций и частных компаний по всему миру. В основном группировка атаковала организации, использующие облачные сервисы Microsoft Office 365.

Скомпрометированные аккаунты, наряду с эксплуатацией уязвимостей в почтовых серверах Microsoft Exchange (CVE-2020-0688 и CVE-2020-17144) использовались для проникновения и продвижения в сетях организаций и доступа к внутренней переписке.

Для сокрытия деятельности APT28 использовала сеть Tor или коммерческие VPN-сервисы, такие как CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark и WorldVPN. Кроме того, брут-форс атаки осуществлялись через различные протоколы, в том числе HTTP(S), IMAP(S), POP3 и NTLM.

В докладе спецслужб также приводятся техники и тактики, применяемые APT28, индикаторы компрометации (IoC) и перечень IP-адресов, связанных с атаками.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 131 день 11 часов 9 минут 54 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.