APT-ГРУППИРОВКА АТАКУЕТ ТЭК И АВИАЦИЮ РФ

Наш Партнер – Компания Positive Technologies обнаружила новую, ранее неизвестную APT-группировку, получившую название ChamelGang. Целями данной группировки являются организации топливно-энергетического комплекса и авиационной промышленности. Первые атаки группы типа trusted relationship были зарегистрированы в марте 2021 года.

Для получения доступа к управлению атакуемой Компании в первом случае группа скомпрометировала дочернюю организацию, используя уязвимую версию веб-приложения на платформе с открытым исходным кодом JBoss Application Server. Проэксплуатировав уязвимость CVE-2017-12149, закрытую поставщиком Red Hat более четырех лет назад, хакеры получили возможность удаленного исполнения команд.

Через 2 недели ChamelGang смогли скомпрометировать головную Компанию. Кибертеррористам удалось узнать пароль локального администратора на одном из серверов в изолированном сегменте и проникли в ее сеть по протоколу RDP (Remote Desktop Protocol). Оставаясь необнаруженными, атакующие находились в корпоративной сети в течение трех месяцев. Как показало расследование, APT-группировке удавалось завладеть данными которые их интересовали.

При осуществлении второй атаки для проникновения в инфраструктуру злоумышленники воспользовались цепочкой связанных уязвимостей в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) — ProxyShell. Далее кибертеррористы получили доступ к почтовым серверам Компании использовав бэкдор, который на момент атаки не определялся большинством антивирусных решений. Данная атака также было полностью успешной.

По оценка экспертов отличительной особенностью атак группы ChamelGang стало использование нового, ранее никем не описанного вредоносного ПО — ProxyT, BeaconLoader, бэкдора DoorMe.

Случаи роста числа хакерских группировок только доказывают важность и необходимость эффективной системы ИБ. Для того, чтобы уберечь конфиденциальные данные Наших Клиентов, мы используем в работе только проверенные и надежные решения от Наших Партнеров.