Kaspersky GReAT: хакеры атакуют Российские государственные учреждения через «Живой Журнал»

Специалисты по кибербезопасности из Kaspersky GReAT (Глобальный центр исследований и анализа угроз «Лаборатории Касперского») выявили серию сложных целевых кибератак на Российские компании в сфере информационных технологий и государственные учреждения.

Эти атаки, названные EastWind, направлены на компрометацию служебной и корпоративной информации.

Этапы проводимых атак

На начальном этапе киберпреступники рассылают массовые электронные письма с вложениями в виде архивов, содержащих вредоносные ярлыки, замаскированные под различные документы. При нажатии на ярлык происходит установка вредоносного ПО, которое взаимодействует с хакерами через облачное хранилище, например, Dropbox.

Внедрение вредоносного программного обеспечения

После успешного проникновения в IT-инфраструктуру целевой организации злоумышленники активируют шпионское ПО на скомпрометированных устройствах.

Одним из таких инструментов является новая версия бэкдора CloudSorcerer, о которой сообщалось ранее. Интересно, что после публикации информации о CloudSorcerer, хакеры усовершенствовали его, добавив возможность использования сервиса «Живой Журнал» в качестве командного сервера, что позволило им лучше скрывать свои действия.

Кроме CloudSorcerer, злоумышленники также используют вредоносные инструменты, ранее применявшиеся группами APT27 и APT31.

Рекомендации по защите

Для предотвращения успешных атак и защиты критической инфраструктуры эксперты из Kaspersky рекомендуют:

  1. Регулярно проводить оценку безопасности систем OT для выявления и устранения потенциальных уязвимостей.
  2. Внедрить непрерывную оценку уязвимостей и расстановку приоритетов как основу управления уязвимостями.
  3. Своевременно обновлять ключевые компоненты корпоративной сети OT; применять исправления безопасности и реализовывать компенсирующие меры.
  4. Использовать решения EDR, такие как Kaspersky Endpoint Detection and Response, для своевременного обнаружения сложных угроз и эффективного реагирования на инциденты.
  5. Повышать квалификацию команд в области предотвращения, обнаружения и реагирования на инциденты через специализированные тренинги.

Своевременное выявление и устранение уязвимостей, а также повышение осведомленности и квалификации персонала являются ключевыми мерами защиты от сложных целевых атак на критическую инфраструктуру.

Вам также понравится