„კასპერსკის ლაბორატორიამ“ აღმოაჩინა, რომ 2021 წლიდან ToddyCat კიბერჯგუფი ახორციელებს რთულ მიზანმიმართულ თავდასხმებს ევროპისა და აზიის სახელმწიფო ორგანიზაციებსა და თავდაცვის სექტორის საწარმოებზე.
თავდამსხმელები კომპრომეტირებენ Microsoft Exchange სერვერებს უცნობი ექსპლოიტის და ProxyLogon დაუცველობის გამოყენებით. ამავდროულად, გამოიყენება კიბერ ჯაშუშობის ორი მოწინავე ინსტრუმენტი უნიკალური უკანა კარის Samurai და ტროიანელი Ninja. ისინი შექმნილნი არიან ისე, რომ სამიზნე ქსელებში შეღწევის შემდეგ დიდხანს რჩებიან ღრმა დონეზე, არიან შეუმჩნეველნი. კომპანია იუწყება, რომ დღეს არ არსებობს უფრო ზუსტი მონაცემები, თუ როგორ ხდება პირველადი ინფიცირება.
კომპანიის ექსპერტები განმარტავენ, რომ Samura არის მოდულური ბექდორი, შეტევის საბოლოო ეტაპის კომპონენტი, რომელიც თავდამსხმელს საშუალებას აძლევს აკონტროლოს დისტანციური სისტემა და გადაადგილდეს კომპრომეტირებული ქსელის მეშვეობით. ასევე, Samurai გამოიყენება სხვა მავნე პროგრამის, ტროიანელი Ninja-ს გასაშვებად, რომელიც ბევრ ოპერატორს ნებას თავს იმუშაონ ერთდროულად ერთ მოწყობილობაზე. ტროიანელი Ninja იძლევა ბრძანებების ფართო კომპლექსს, რაც საშუალებას აძლევს თავდამსხმელებს გააკონტროლონ დისტანციური სისტემები და ამასთან ერთად დარჩნენ შეუმჩნეველნი.
„ToddyCat ეს არის მოწინავე კიბერჯგუფი მაღალი ტექნიკური უნარებით, რომელსაც შეუძლია შეუმჩნეველი დარჩეს და შეაღწიოს მსხვილ ცნობილ ორგანიზაციებში. გასული წლის განმავლობაში ჩვენ აღმოვაჩინეთ მრავალი ჩამომტვირთველი და თავდასხმა, მაგრამ ჯერ კიდევ არ გვაქვს სრული სურათი მათი ოპერაციებისა და ტაქტიკის შესახებ. ToddyCat იყენებს განსაკუთრებით რთულ მავნე პროგრამულ უზრუნველყოფას. მისთვის ყველაზე ეფექტური წინააღმდეგობის გაწევა შესაძლებელია მაშინ, თუ იყენებთ მრავალი დონის დაცვას – ყურადღებით აკონტროლებთ შიდა რესურსებს და თვალყურს ადევნებთ ანალიტიკურ მონაცემებს კიბერსაფრთხეების შესახებ“, – წერს „კასპერსკის ლაბორატორიის“ რუსეთის კვლევითი ცენტრის ხელმძღვანელი მარია ნამესტნიკოვა.
რთული კიბერშეტევებისგან თავის დასაცავად, „კასპერსკის ლაბორატორია“ რეკომენდაციას აძლევს კომპანიებს, ინფორმაციის უსაფრთხოების სპეციალისტებისათვის უზრუნველყონ წვდომა საფრთხეების შესახებ უახლეს მონაცემებზე, საფრთხის აღმოსაჩენად, ინციდენტების გამოძიებისა და სასწრაფოდ აღდგენის მიზნით დანერგონ Endpoint Detection and Response გადაწყვეტილებები ბოლო მოწყობილობებზე; გარდა ძირითადი უსაფრთხოების პროდუქტებისა გამოიყენონ კორპორატიული დონის გადაწყვეტა, რომელსაც ადრეულ ეტაპზე ქსელის დონეზე შეუძლია მოწინავე საფრთხეების აღმოჩენა; ასწავლეთ თანამშრომლებს კიბერ ჰიგიენის ძირითადი წესები, რადგან თავდასხმები ხშირად იწყება ფიშინგით ან სოციალური ინჟინერიის სხვა ტექნიკით.
უფრო დაწვრილებით, აქ: https://securelist.com/toddycat/106799/.
