НОВОСТИ / РОССИЯМОСКВА, 17 июня. Специалисты обнаружили новейшую группу хакеров, они занимаются кибершпионажем против РФ, в частности, против ИТ-сектора и промышленности, рассказали ТАСС в компании RED Security (принадлежит МТС), которые нашли ее вместе с экспертами компании CICADA8.
Специалисты назвали группировку Cloaked Shadow - та для достижения целей "использует продвинутые техники маскирования", находясь в инфраструктуре и имеет собственное вредоносное ПО, способное "кастомизироваться под инфраструктуру компании-жертвы".
"Злоумышленники проникают в организации, эксплуатируя уязвимости на внешних сервисах. "Для подключения к внутренней инфраструктуре <…> [они] используют различные инструменты с открытым исходным кодом, которые не вызывают срабатываний со стороны технических средств защиты", - объясняют в RED Security стратегию хакеров.
Далее члены группировки закрепляются в инфраструктуре, выстроенной на Windows, используя планировщик задач. В Linux-инфраструктуре они используют системные службы семейства этих операционных систем. После закрепления в компаниях хакеры повышают себе привилегии пользователя и перемещаются глубже в инфраструктуру, пытаясь сделать дамп (снимок состояния) одного из системных процессов или украсть базу данных с учетными записями сотрудников.
После этого хакеры "строят длинные цепочки серверов внутри локальных инфраструктур жертв" для продвижения и сокрытия их активности, предупреждают специалисты. "На этом этапе Cloaked Shadow начинает обширную эксфильтрацию информации о компании, собирая данные домашних директорий пользователей, паролей, ключей, сертификатов, документов и других объектов, которые могут представлять интерес в границах шпионажа", - добавили в RED Security.
Собственное вредоносное ПО группировки, а именно бэкдор, постоянно модифицируется и совершенствуется. На основании типа ПО специалисты сделали вывод, что группировка Cloaked Shadow предпочитает целевые, а не массовые кибератаки.