Взлом компании Cisco связали с русскоязычными хакерами - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Изображения » Взлом компании Cisco связали с русскоязычными хакерами - «Новости»

✔Взлом компании Cisco связали с русскоязычными хакерами - «Новости»

05 сентября 2022 426 Изображения / Новости / Отступы и поля / Заработок / Вёрстка / Добавления стилей / Сайтостроение / Текст 0

Эксперты из компании eSentire установили, что инфраструктура, которая использовалась для атаки на компанию Cisco в мае 2022 года, месяцем ранее применялась для компрометации неназванной компании, занимающейся решениями для управления персоналом. Исследователи считают, что за этими инцидентами стоят злоумышленники, связанные с Evil Corp.


Напомню, что в августе 2022 года представители Cisco подтвердили, что в еще мае корпоративную сеть компании взломала вымогательская группировка Yanluowang. Позже злоумышленники пытались вымогать у Cisco деньги, в противном случае угрожая опубликовать украденные во время атаки данные в свободном доступе. Тогда в компании подчеркивали, что хакеры сумели похитить только неконфиденциальные данные из папки Box, связанной с взломанной учетной записью сотрудника.


Как теперь рассказывают аналитики eSentire, эта атака могла  быть делом рук преступника, известного как mx1r. Считается, что он является членом одного из «филиалов» известной русскоязычной группировки Evil Corp (она же UNC2165).


Исследователи пишут, что исходно доступ к сети жертвы был получен благодаря использованию украденных учетных данных от VPN, а затем злоумышленники использовали готовые инструментов для бокового перемещения.


«С помощью Cobalt Strike злоумышленники смогли закрепиться в системе. Они действовали быстро с момента первоначального доступа и до момента, когда смогли зарегистрировать собственную виртуальную машину в VPN-сети жертвы», — рассказывают эксперты.


О связи mx1r с Evil Corp исследователи подозревают из-за совпадения ряда тактик злоумышленников. В том числе из-за организации kerberoasting-атаки на службу Active Directory и использования RDP для продвижения в сети компании.


При этом, несмотря на эти связи, инфраструктура HiveStrike, использованная для организации атаки, в целом соответствует инфраструктуре одного из «партнеров» группировки Conti, который ранее уже распространял вымогателей Hive и Yanluowang. Именно эти хакеры в итоге опубликовали украденные у Cisco данные на своем сайте в даркнете.


Сами представители Cisco писали, что атака, скорее всего, «проведена злоумышленником, который ранее являлся брокером первоначальных доступов и имел связи с киберпреступной группой UNC2447, группой Lapsus$ и операторами вымогателя Yanluowang».


Эти расхождения, похоже, ничуть не смущают аналитиков eSentire:


«Кажется маловероятным (но не невозможным), что Conti предоставляет свою инфраструктуру Evil Corp. Более правдоподобным выглядит то, что “партнер” Evil Corp/UNC2165 может работать с одной из новых дочерних компаний Conti. Также возможно, что первоначальный доступ к сети компании был предоставлен “партнером” Evil Corp, но в конечном итоге был продан операторам Hive и связанным с ними лицам».


Эксперты из компании eSentire установили, что инфраструктура, которая использовалась для атаки на компанию Cisco в мае 2022 года, месяцем ранее применялась для компрометации неназванной компании, занимающейся решениями для управления персоналом. Исследователи считают, что за этими инцидентами стоят злоумышленники, связанные с Evil Corp. Напомню, что в августе 2022 года представители Cisco подтвердили, что в еще мае корпоративную сеть компании взломала вымогательская группировка Yanluowang. Позже злоумышленники пытались вымогать у Cisco деньги, в противном случае угрожая опубликовать украденные во время атаки данные в свободном доступе. Тогда в компании подчеркивали, что хакеры сумели похитить только неконфиденциальные данные из папки Box, связанной с взломанной учетной записью сотрудника. Как теперь рассказывают аналитики eSentire, эта атака могла быть делом рук преступника, известного как mx1r. Считается, что он является членом одного из «филиалов» известной русскоязычной группировки Evil Corp (она же UNC2165). Исследователи пишут, что исходно доступ к сети жертвы был получен благодаря использованию украденных учетных данных от VPN, а затем злоумышленники использовали готовые инструментов для бокового перемещения. «С помощью Cobalt Strike злоумышленники смогли закрепиться в системе. Они действовали быстро с момента первоначального доступа и до момента, когда смогли зарегистрировать собственную виртуальную машину в VPN-сети жертвы», — рассказывают эксперты. О связи mx1r с Evil Corp исследователи подозревают из-за совпадения ряда тактик злоумышленников. В том числе из-за организации kerberoasting-атаки на службу Active Directory и использования RDP для продвижения в сети компании. При этом, несмотря на эти связи, инфраструктура HiveStrike, использованная для организации атаки, в целом соответствует инфраструктуре одного из «партнеров» группировки Conti, который ранее уже распространял вымогателей Hive и Yanluowang. Именно эти хакеры в итоге опубликовали украденные у Cisco данные на своем сайте в даркнете. Сами представители Cisco писали, что атака, скорее всего, «проведена злоумышленником, который ранее являлся брокером первоначальных доступов и имел связи с киберпреступной группой UNC2447, группой Lapsus$ и операторами вымогателя Yanluowang». Эти расхождения, похоже, ничуть не смущают аналитиков eSentire: «Кажется маловероятным (но не невозможным), что Conti предоставляет свою инфраструктуру Evil Corp. Более правдоподобным выглядит то, что “партнер” Evil Corp/UNC2165 может работать с одной из новых дочерних компаний Conti. Также возможно, что первоначальный доступ к сети компании был предоставлен “партнером” Evil Corp, но в конечном итоге был продан операторам Hive и связанным с ними лицам».
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: