Взлом компании Cisco связали с русскоязычными хакерами - «Новости» » Интернет технологии
sitename
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
Linux-уязвимость DirtyClone помогает повысить права до уровня root - «Новости»
Linux-уязвимость DirtyClone помогает повысить права до уровня root - «Новости»
У японских интернет-провайдеров утекли данные 14,22 млн абонентов - «Новости»
У японских интернет-провайдеров утекли данные 14,22 млн абонентов - «Новости»
Операторы будут автоматически передавать данные в единую базу IMEI - «Новости»
Операторы будут автоматически передавать данные в единую базу IMEI - «Новости»
Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости»
Червь Miasma атаковал LeoPlatform и пакеты RStreams - «Новости»
Через кошельки Qiwi за границу вывели 30 млрд рублей - «Новости»
Через кошельки Qiwi за границу вывели 30 млрд рублей - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Изображения » Взлом компании Cisco связали с русскоязычными хакерами - «Новости»

Эксперты из компании eSentire установили, что инфраструктура, которая использовалась для атаки на компанию Cisco в мае 2022 года, месяцем ранее применялась для компрометации неназванной компании, занимающейся решениями для управления персоналом. Исследователи считают, что за этими инцидентами стоят злоумышленники, связанные с Evil Corp.


Напомню, что в августе 2022 года представители Cisco подтвердили, что в еще мае корпоративную сеть компании взломала вымогательская группировка Yanluowang. Позже злоумышленники пытались вымогать у Cisco деньги, в противном случае угрожая опубликовать украденные во время атаки данные в свободном доступе. Тогда в компании подчеркивали, что хакеры сумели похитить только неконфиденциальные данные из папки Box, связанной с взломанной учетной записью сотрудника.


Как теперь рассказывают аналитики eSentire, эта атака могла  быть делом рук преступника, известного как mx1r. Считается, что он является членом одного из «филиалов» известной русскоязычной группировки Evil Corp (она же UNC2165).


Исследователи пишут, что исходно доступ к сети жертвы был получен благодаря использованию украденных учетных данных от VPN, а затем злоумышленники использовали готовые инструментов для бокового перемещения.


«С помощью Cobalt Strike злоумышленники смогли закрепиться в системе. Они действовали быстро с момента первоначального доступа и до момента, когда смогли зарегистрировать собственную виртуальную машину в VPN-сети жертвы», — рассказывают эксперты.


О связи mx1r с Evil Corp исследователи подозревают из-за совпадения ряда тактик злоумышленников. В том числе из-за организации kerberoasting-атаки на службу Active Directory и использования RDP для продвижения в сети компании.


При этом, несмотря на эти связи, инфраструктура HiveStrike, использованная для организации атаки, в целом соответствует инфраструктуре одного из «партнеров» группировки Conti, который ранее уже распространял вымогателей Hive и Yanluowang. Именно эти хакеры в итоге опубликовали украденные у Cisco данные на своем сайте в даркнете.


Сами представители Cisco писали, что атака, скорее всего, «проведена злоумышленником, который ранее являлся брокером первоначальных доступов и имел связи с киберпреступной группой UNC2447, группой Lapsus$ и операторами вымогателя Yanluowang».


Эти расхождения, похоже, ничуть не смущают аналитиков eSentire:


«Кажется маловероятным (но не невозможным), что Conti предоставляет свою инфраструктуру Evil Corp. Более правдоподобным выглядит то, что “партнер” Evil Corp/UNC2165 может работать с одной из новых дочерних компаний Conti. Также возможно, что первоначальный доступ к сети компании был предоставлен “партнером” Evil Corp, но в конечном итоге был продан операторам Hive и связанным с ними лицам».


Эксперты из компании eSentire установили, что инфраструктура, которая использовалась для атаки на компанию Cisco в мае 2022 года, месяцем ранее применялась для компрометации неназванной компании, занимающейся решениями для управления персоналом. Исследователи считают, что за этими инцидентами стоят злоумышленники, связанные с Evil Corp. Напомню, что в августе 2022 года представители Cisco подтвердили, что в еще мае корпоративную сеть компании взломала вымогательская группировка Yanluowang. Позже злоумышленники пытались вымогать у Cisco деньги, в противном случае угрожая опубликовать украденные во время атаки данные в свободном доступе. Тогда в компании подчеркивали, что хакеры сумели похитить только неконфиденциальные данные из папки Box, связанной с взломанной учетной записью сотрудника. Как теперь рассказывают аналитики eSentire, эта атака могла быть делом рук преступника, известного как mx1r. Считается, что он является членом одного из «филиалов» известной русскоязычной группировки Evil Corp (она же UNC2165). Исследователи пишут, что исходно доступ к сети жертвы был получен благодаря использованию украденных учетных данных от VPN, а затем злоумышленники использовали готовые инструментов для бокового перемещения. «С помощью Cobalt Strike злоумышленники смогли закрепиться в системе. Они действовали быстро с момента первоначального доступа и до момента, когда смогли зарегистрировать собственную виртуальную машину в VPN-сети жертвы», — рассказывают эксперты. О связи mx1r с Evil Corp исследователи подозревают из-за совпадения ряда тактик злоумышленников. В том числе из-за организации kerberoasting-атаки на службу Active Directory и использования RDP для продвижения в сети компании. При этом, несмотря на эти связи, инфраструктура HiveStrike, использованная для организации атаки, в целом соответствует инфраструктуре одного из «партнеров» группировки Conti, который ранее уже распространял вымогателей Hive и Yanluowang. Именно эти хакеры в итоге опубликовали украденные у Cisco данные на своем сайте в даркнете. Сами представители Cisco писали, что атака, скорее всего, «проведена злоумышленником, который ранее являлся брокером первоначальных доступов и имел связи с киберпреступной группой UNC2447, группой Lapsus$ и операторами вымогателя Yanluowang». Эти расхождения, похоже, ничуть не смущают аналитиков eSentire: «Кажется маловероятным (но не невозможным), что Conti предоставляет свою инфраструктуру Evil Corp. Более правдоподобным выглядит то, что “партнер” Evil Corp/UNC2165 может работать с одной из новых дочерних компаний Conti. Также возможно, что первоначальный доступ к сети компании был предоставлен “партнером” Evil Corp, но в конечном итоге был продан операторам Hive и связанным с ними лицам».
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: