Взлом компании Cisco связали с русскоязычными хакерами - «Новости» » Интернет технологии
sitename
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
 В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
 Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
 Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
 Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
 Nvidia обновила DLSS, уменьшив в играх потребление VRAM на 20 % - «Новости сети»
Nvidia обновила DLSS, уменьшив в играх потребление VRAM на 20 % - «Новости сети»
 Microsoft заявила, что ПК с Windows 11 в 2,3 раза быстрее ПК с Windows 10 и привела сомнительные аргументы - «Новости сети»
Microsoft заявила, что ПК с Windows 11 в 2,3 раза быстрее ПК с Windows 10 и привела сомнительные аргументы - «Новости сети»
 MEGANews. Cамые важные события в мире инфосека за июнь - «Новости»
MEGANews. Cамые важные события в мире инфосека за июнь - «Новости»
 Австралийку арестовали из-за неоднократных взломов университетских систем - «Новости»
Австралийку арестовали из-за неоднократных взломов университетских систем - «Новости»
 Теперь дешевле. Подписка на «Хакер» — 450₽ в месяц - «Новости»
Теперь дешевле. Подписка на «Хакер» — 450₽ в месяц - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Изображения » Взлом компании Cisco связали с русскоязычными хакерами - «Новости»

✔Взлом компании Cisco связали с русскоязычными хакерами - «Новости»

05 сентября 2022 570 Изображения / Новости / Отступы и поля / Заработок / Вёрстка / Добавления стилей / Сайтостроение / Текст 0

Эксперты из компании eSentire установили, что инфраструктура, которая использовалась для атаки на компанию Cisco в мае 2022 года, месяцем ранее применялась для компрометации неназванной компании, занимающейся решениями для управления персоналом. Исследователи считают, что за этими инцидентами стоят злоумышленники, связанные с Evil Corp.


Напомню, что в августе 2022 года представители Cisco подтвердили, что в еще мае корпоративную сеть компании взломала вымогательская группировка Yanluowang. Позже злоумышленники пытались вымогать у Cisco деньги, в противном случае угрожая опубликовать украденные во время атаки данные в свободном доступе. Тогда в компании подчеркивали, что хакеры сумели похитить только неконфиденциальные данные из папки Box, связанной с взломанной учетной записью сотрудника.


Как теперь рассказывают аналитики eSentire, эта атака могла  быть делом рук преступника, известного как mx1r. Считается, что он является членом одного из «филиалов» известной русскоязычной группировки Evil Corp (она же UNC2165).


Исследователи пишут, что исходно доступ к сети жертвы был получен благодаря использованию украденных учетных данных от VPN, а затем злоумышленники использовали готовые инструментов для бокового перемещения.


«С помощью Cobalt Strike злоумышленники смогли закрепиться в системе. Они действовали быстро с момента первоначального доступа и до момента, когда смогли зарегистрировать собственную виртуальную машину в VPN-сети жертвы», — рассказывают эксперты.


О связи mx1r с Evil Corp исследователи подозревают из-за совпадения ряда тактик злоумышленников. В том числе из-за организации kerberoasting-атаки на службу Active Directory и использования RDP для продвижения в сети компании.


При этом, несмотря на эти связи, инфраструктура HiveStrike, использованная для организации атаки, в целом соответствует инфраструктуре одного из «партнеров» группировки Conti, который ранее уже распространял вымогателей Hive и Yanluowang. Именно эти хакеры в итоге опубликовали украденные у Cisco данные на своем сайте в даркнете.


Сами представители Cisco писали, что атака, скорее всего, «проведена злоумышленником, который ранее являлся брокером первоначальных доступов и имел связи с киберпреступной группой UNC2447, группой Lapsus$ и операторами вымогателя Yanluowang».


Эти расхождения, похоже, ничуть не смущают аналитиков eSentire:


«Кажется маловероятным (но не невозможным), что Conti предоставляет свою инфраструктуру Evil Corp. Более правдоподобным выглядит то, что “партнер” Evil Corp/UNC2165 может работать с одной из новых дочерних компаний Conti. Также возможно, что первоначальный доступ к сети компании был предоставлен “партнером” Evil Corp, но в конечном итоге был продан операторам Hive и связанным с ними лицам».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты из компании eSentire установили, что инфраструктура, которая использовалась для атаки на компанию Cisco в мае 2022 года, месяцем ранее применялась для компрометации неназванной компании, занимающейся решениями для управления персоналом. Исследователи считают, что за этими инцидентами стоят злоумышленники, связанные с Evil Corp. Напомню, что в августе 2022 года представители Cisco подтвердили, что в еще мае корпоративную сеть компании взломала вымогательская группировка Yanluowang. Позже злоумышленники пытались вымогать у Cisco деньги, в противном случае угрожая опубликовать украденные во время атаки данные в свободном доступе. Тогда в компании подчеркивали, что хакеры сумели похитить только неконфиденциальные данные из папки Box, связанной с взломанной учетной записью сотрудника. Как теперь рассказывают аналитики eSentire, эта атака могла быть делом рук преступника, известного как mx1r. Считается, что он является членом одного из «филиалов» известной русскоязычной группировки Evil Corp (она же UNC2165). Исследователи пишут, что исходно доступ к сети жертвы был получен благодаря использованию украденных учетных данных от VPN, а затем злоумышленники использовали готовые инструментов для бокового перемещения. «С помощью Cobalt Strike злоумышленники смогли закрепиться в системе. Они действовали быстро с момента первоначального доступа и до момента, когда смогли зарегистрировать собственную виртуальную машину в VPN-сети жертвы», — рассказывают эксперты. О связи mx1r с Evil Corp исследователи подозревают из-за совпадения ряда тактик злоумышленников. В том числе из-за организации kerberoasting-атаки на службу Active Directory и использования RDP для продвижения в сети компании. При этом, несмотря на эти связи, инфраструктура HiveStrike, использованная для организации атаки, в целом соответствует инфраструктуре одного из «партнеров» группировки Conti, который ранее уже распространял вымогателей Hive и Yanluowang. Именно эти хакеры в итоге опубликовали украденные у Cisco данные на своем сайте в даркнете. Сами представители Cisco писали, что атака, скорее всего, «проведена злоумышленником, который ранее являлся брокером первоначальных доступов и имел связи с киберпреступной группой UNC2447, группой Lapsus$ и операторами вымогателя Yanluowang». Эти расхождения, похоже, ничуть не смущают аналитиков eSentire: «Кажется маловероятным (но не невозможным), что Conti предоставляет свою инфраструктуру Evil Corp. Более правдоподобным выглядит то, что “партнер” Evil Corp/UNC2165 может работать с одной из новых дочерних компаний Conti. Также возможно, что первоначальный доступ к сети компании был предоставлен “партнером” Evil Corp, но в конечном итоге был продан операторам Hive и связанным с ними лицам».
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: