По данным исследований, хакерская группа «Черепаховый панцирь» идентифицируется по специальной форме вредоносного ПО, и новая кампания в настоящее время не считается связанной с какими-либо другими кибероперациями.
Хакерская операция нацелена на ИТ-провайдеров с помощью вредоносного ПО, что считается начальной стадией атаки на цепочку поставок с конечной целью компрометации организаций-клиентов.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
Хакерская группа, получившая название Tortoiseshell, использует комбинацию пользовательских и готовое вредоносное ПО - и в настоящее время не считается, что это имеет какое-либо отношение к деятельности преступников или шпионским кампаниям, поддерживаемым национальным государством. Ранее недокументированная кампания была обнаружено и подробно описано исследователями безопасности Symantec.
Tortoiseshell активен как минимум с июля 2018 года. За это время, по словам исследователей, группа атаковала как минимум 11 ИТ-провайдеров, большинство из которых базируются в Саудовской Аравии. Имеющиеся данные свидетельствуют о том, что злоумышленники получили доступ на уровне администратора домена как минимум к двум организациям, что позволило им получить доступ ко всем машинам в сети.
ВИДЕТЬ: Выигрышная стратегия в области кибербезопасности (Специальный репортаж ZDNet) | Скачать отчет в формате PDF (Техреспублик)
В ходе двух атак исследователи обнаружили, что сотни компьютеров были заражены вредоносным ПО. злоумышленники просто заражали все машины, которые могли, в организациях, чтобы найти ключ цели.
Последняя активность Tortoiseshell была зафиксирована в июле 2019 года: атаки группы идентифицировались по уникальной пользовательской полезной нагрузке: Черный ход. Сыскит.
Это вредоносное ПО создано на языках программирования Delphi и .NET и тайно открывает начальный бэкдор на скомпрометированные компьютеры. компьютеров, что позволяет злоумышленникам собирать информацию, включая IP-адрес, версию операционной системы и компьютер. имя.
Syskit также может загружать и выполнять дополнительные инструменты и команды, а атаки Tortoiseshell также используют несколько общедоступных инструментов для кражи информации для сбора данных об активности пользователей.
Хотя остается неясным, как доставляется вредоносное ПО, исследователи предполагают, что потенциально оно может распространяться через взломанный веб-сервер, поскольку в одном случае первым признаком наличия вредоносного ПО в сети была скомпрометированная веб-оболочка – нечто, что может обеспечить легкий путь в целевую сеть.
«Компрометация веб-сервера с помощью, вероятно, старого эксплойта может быть более простым подходом, чем использование электронной почты. Альтернатива использованию фишинг электронная почта для компрометации жертвы обычно требовалось, чтобы злоумышленник имел хотя бы некоторые знания о получателе электронной почты, чтобы настроить электронное письмо для этого человека», — рассказал Гэвин О'Горман, следователь группы реагирования на безопасность Symantec. ЗДНет.
Поскольку кампания ориентирована на ИТ-компании, исследователи полагают, что эти атаки являются первым этапом цепочки поставок. хакеры стремятся скомпрометировать ИТ-поставщиков в качестве трамплина к сетям своих клиентов.
Злоумышленники, участвующие в атаках на цепочку поставок, используют ряд методов, чтобы скомпрометировать свою конечную цель. включая распространение обновлений программного обеспечения, содержащих вредоносный код. Высокий уровень доступа ИТ-компаний к клиентским сетям делает их привлекательной целью для хакеров.
ВИДЕТЬ: Это новое вредоносное ПО для криптоджекинга использует хитрый трюк, чтобы оставаться скрытым
Интерес к целевым организациям настолько велик, что Symantec обнаружила доказательства того, что некоторые из них ранее подвергся нападению с использованием просочившихся инструментов, связанных с APT 34, также известным как Oilrig и Helix. Котенок – хакерская операция, связанная с иранским правительством. Однако исследователи полагают, что эта деятельность не связана с черепаховым панцирем, а скорее является показателем интереса, который многие атакующие группы проявляют к Саудовской Аравии и более широкий Ближний Восток.
«Организации Саудовской Аравии вот уже несколько лет являются объектом нападения нескольких хакерских групп», — сказал О'Горман. «Нет никаких признаков того, что эти нападки на саудовские организации уменьшатся».
Организации, подвергшиеся атакам Tortoiseshell, были проинформированы об атаках и работают с Symantec над защитой своих сетей. Считается, что Tortoiseshell все еще активен и продолжит атаковать организации в регионе с помощью обновленных атак.
ПОДРОБНЕЕ О КИБЕРПРЕСТУПНОСТИ
- ИТ-компании, телекоммуникационные компании среди десятков подверглись атаке с помощью новой вредоносной программы, кражи информации
- 7 советов по безопасности, которые помогут предотвратить кражу ваших данных людьми и приложениями vrenture.com/
- Кибербезопасность: сделайте эти шесть вещей, чтобы защитить свою компанию в Интернете
- Как организации могут лучше защитить себя от угроз безопасности цепочки поставок Техреспублика
- Эти хакеры взломали 10 телекоммуникационных компаний, чтобы украсть записи телефонных разговоров клиентов