Взлом компании Cisco связали с русскоязычными хакерами - «Новости» » Интернет технологии
sitename
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Вымогатели Hunters International считают, что шифровальщики стали слишком опасными - «Новости»
Вымогатели Hunters International считают, что шифровальщики стали слишком опасными - «Новости»
 Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
 В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
 В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
 Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
 Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Изображения » Взлом компании Cisco связали с русскоязычными хакерами - «Новости»

✔Взлом компании Cisco связали с русскоязычными хакерами - «Новости»

05 сентября 2022 518 Изображения / Новости / Отступы и поля / Заработок / Вёрстка / Добавления стилей / Сайтостроение / Текст 0

Эксперты из компании eSentire установили, что инфраструктура, которая использовалась для атаки на компанию Cisco в мае 2022 года, месяцем ранее применялась для компрометации неназванной компании, занимающейся решениями для управления персоналом. Исследователи считают, что за этими инцидентами стоят злоумышленники, связанные с Evil Corp.


Напомню, что в августе 2022 года представители Cisco подтвердили, что в еще мае корпоративную сеть компании взломала вымогательская группировка Yanluowang. Позже злоумышленники пытались вымогать у Cisco деньги, в противном случае угрожая опубликовать украденные во время атаки данные в свободном доступе. Тогда в компании подчеркивали, что хакеры сумели похитить только неконфиденциальные данные из папки Box, связанной с взломанной учетной записью сотрудника.


Как теперь рассказывают аналитики eSentire, эта атака могла  быть делом рук преступника, известного как mx1r. Считается, что он является членом одного из «филиалов» известной русскоязычной группировки Evil Corp (она же UNC2165).


Исследователи пишут, что исходно доступ к сети жертвы был получен благодаря использованию украденных учетных данных от VPN, а затем злоумышленники использовали готовые инструментов для бокового перемещения.


«С помощью Cobalt Strike злоумышленники смогли закрепиться в системе. Они действовали быстро с момента первоначального доступа и до момента, когда смогли зарегистрировать собственную виртуальную машину в VPN-сети жертвы», — рассказывают эксперты.


О связи mx1r с Evil Corp исследователи подозревают из-за совпадения ряда тактик злоумышленников. В том числе из-за организации kerberoasting-атаки на службу Active Directory и использования RDP для продвижения в сети компании.


При этом, несмотря на эти связи, инфраструктура HiveStrike, использованная для организации атаки, в целом соответствует инфраструктуре одного из «партнеров» группировки Conti, который ранее уже распространял вымогателей Hive и Yanluowang. Именно эти хакеры в итоге опубликовали украденные у Cisco данные на своем сайте в даркнете.


Сами представители Cisco писали, что атака, скорее всего, «проведена злоумышленником, который ранее являлся брокером первоначальных доступов и имел связи с киберпреступной группой UNC2447, группой Lapsus$ и операторами вымогателя Yanluowang».


Эти расхождения, похоже, ничуть не смущают аналитиков eSentire:


«Кажется маловероятным (но не невозможным), что Conti предоставляет свою инфраструктуру Evil Corp. Более правдоподобным выглядит то, что “партнер” Evil Corp/UNC2165 может работать с одной из новых дочерних компаний Conti. Также возможно, что первоначальный доступ к сети компании был предоставлен “партнером” Evil Corp, но в конечном итоге был продан операторам Hive и связанным с ними лицам».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты из компании eSentire установили, что инфраструктура, которая использовалась для атаки на компанию Cisco в мае 2022 года, месяцем ранее применялась для компрометации неназванной компании, занимающейся решениями для управления персоналом. Исследователи считают, что за этими инцидентами стоят злоумышленники, связанные с Evil Corp. Напомню, что в августе 2022 года представители Cisco подтвердили, что в еще мае корпоративную сеть компании взломала вымогательская группировка Yanluowang. Позже злоумышленники пытались вымогать у Cisco деньги, в противном случае угрожая опубликовать украденные во время атаки данные в свободном доступе. Тогда в компании подчеркивали, что хакеры сумели похитить только неконфиденциальные данные из папки Box, связанной с взломанной учетной записью сотрудника. Как теперь рассказывают аналитики eSentire, эта атака могла быть делом рук преступника, известного как mx1r. Считается, что он является членом одного из «филиалов» известной русскоязычной группировки Evil Corp (она же UNC2165). Исследователи пишут, что исходно доступ к сети жертвы был получен благодаря использованию украденных учетных данных от VPN, а затем злоумышленники использовали готовые инструментов для бокового перемещения. «С помощью Cobalt Strike злоумышленники смогли закрепиться в системе. Они действовали быстро с момента первоначального доступа и до момента, когда смогли зарегистрировать собственную виртуальную машину в VPN-сети жертвы», — рассказывают эксперты. О связи mx1r с Evil Corp исследователи подозревают из-за совпадения ряда тактик злоумышленников. В том числе из-за организации kerberoasting-атаки на службу Active Directory и использования RDP для продвижения в сети компании. При этом, несмотря на эти связи, инфраструктура HiveStrike, использованная для организации атаки, в целом соответствует инфраструктуре одного из «партнеров» группировки Conti, который ранее уже распространял вымогателей Hive и Yanluowang. Именно эти хакеры в итоге опубликовали украденные у Cisco данные на своем сайте в даркнете. Сами представители Cisco писали, что атака, скорее всего, «проведена злоумышленником, который ранее являлся брокером первоначальных доступов и имел связи с киберпреступной группой UNC2447, группой Lapsus$ и операторами вымогателя Yanluowang». Эти расхождения, похоже, ничуть не смущают аналитиков eSentire: «Кажется маловероятным (но не невозможным), что Conti предоставляет свою инфраструктуру Evil Corp. Более правдоподобным выглядит то, что “партнер” Evil Corp/UNC2165 может работать с одной из новых дочерних компаний Conti. Также возможно, что первоначальный доступ к сети компании был предоставлен “партнером” Evil Corp, но в конечном итоге был продан операторам Hive и связанным с ними лицам».
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: