Кибершпионска кампания атакува критична инфраструктура чрез компрометирани уеб сървъри
Продължителна кибершпионска активност е насочена към организации с висока стойност в Южна, Югоизточна и Източна Азия, като основните цели са сектори, свързани с критична инфраструктура и стратегически индустрии.
Атаките започват с компрометиране на уеб сървъри, след което следват кражба на идентификационни данни, странично придвижване в мрежата и установяване на дългосрочно присъствие в засегнатите среди.
Сред засегнатите организации са структури от секторите авиация, енергетика, държавна администрация, правоохранителни органи, телекомуникации, фармацевтика и технологии.
Уеб сървърите като входна точка
Публично достъпните уеб сървъри остават една от най-често използваните входни точки в съвременните кибератаки.
След като получат достъп чрез уязвими приложения или неправилно конфигурирани услуги, атакуващите често внедряват web shell инструменти, които им позволяват дистанционно да изпълняват команди и да взаимодействат със засегнатата система.
От тази начална точка те започват да изследват средата, търсейки конфигурационни файлове, компоненти за удостоверяване и данни от приложения, които могат да разкрият допълнителни уязвимости или да осигурят достъп до други системи.
Кражба на идентификационни данни и вътрешно разузнаване
Извличането на идентификационни данни е ключов елемент в тези операции.
Атакуващите използват комбинация от широко известни офанзивни инструменти и легитимни системни утилити, за да извличат информация за удостоверяване от компрометирани системи.
Тези техники могат да разкрият пароли, съхранявани в паметта, токени за удостоверяване и данни за връзка, използвани от вътрешни приложения и бази данни.
След като получат валидни идентификационни данни, атакуващите могат да разширят достъпа си до множество системи в рамките на мрежата.
Използване на open-source инструменти и системни утилити
Вместо да разчитат само на специализиран зловреден код, атакуващите често комбинират open-source офанзивни инструменти, публично достъпни утилити и легитимни системни бинарни файлове.
Този подход им позволява да се слеят с нормалната системна активност, докато поддържат дългосрочен достъп.
Тези техники, известни като “living-off-the-land”, затрудняват откриването, тъй като използваните инструменти често са легитимни компоненти, които вече съществуват в корпоративните среди.
Операции в различни операционни системи
Кампанията демонстрира способност за работа както в Windows, така и в Linux среди, като използва различни инструменти в зависимост от операционната система.
Тази гъвкавост позволява на атакуващите да се придвижват в сложни инфраструктури, където съжителстват множество технологични платформи.
Комбинацията от експлоатация на уеб сървъри, кражба на идентификационни данни и скрито придвижване между системи позволява на атакуващите да поддържат дългосрочно присъствие в стратегически среди.
Позицията на DIAMATIX
Тази активност отразява по-широка тенденция в съвременните кибершпионски операции, насочени към критична инфраструктура.
Вместо да разчитат на силно специализиран зловреден код, много групи комбинират публично достъпни инструменти, компрометирана уеб инфраструктура и техники за достъп до идентификационни данни, за да поддържат постоянен достъп в критични среди.
За организациите, които управляват публично достъпни системи, няколко защитни приоритета остават ключови:
• защита и укрепване на публичните уеб сървъри и приложения
• наблюдение за необичайно изпълнение на команди от уеб средата
• откриване на дейности за извличане на идентификационни данни
• ограничаване на повторната употреба на идентификационни данни и защита на идентичностите
Ранното откриване често зависи повече от видимостта върху уеб инфраструктурата, системите за идентичност и вътрешния мрежов трафик, отколкото от откриването на зловреден код.
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
