Новая кибергруппировка Hellhounds атакует российские государственные компании. Ее обнаружили специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center).
• Hellhounds уже скомпрометировала по меньшей мере 20 российских организаций. Больше всего группировку интересуют государственные учреждения, IT-компании, организации космической и энергетической отраслей.
• Созданная ими модификация уже известного трояна Decoy Dog работает незаметно для большинства средств защиты: он позволяет получить контроль над зараженными узлами и развивать атаку в скомпрометированной инфраструктуре.
«Decoy Dog — интересный и сложный троян, а новая модификация сделала его почти невидимкой. Он хорошо скрывает себя в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon», — рассказал Денис Кувшинов, руководитель отдела исследования угроз ИБ, PT ESC.
• Используемые группировкой инструменты в сочетании с ее тактиками и техниками не позволяют соотнести ее действия ни c одной из ранее известных APT-групп. Новая кибергруппировка, названная экспертами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на узлах и в сети.
• Истинные задачи Hellhounds пока неизвестны, однако имеется достоверная информация как минимум об одном факте уничтожения инфраструктуры, за которым последовала приостановка деятельности компании-жертвы.
• Одна из причин успеха новой группировки в том, что компании очень редко используют дополнительные системы мониторинга и антивирусы на серверах под управлением Linux.
Организациям, работающим на базе Linux, нужно больше внимания уделять защите инфраструктуры. Обнаруженные скомпрометированные узлы в очередной раз подтверждают ошибочность подхода, декларирующего неуязвимость Linux, и утверждение, что у нее ничтожно малая подверженность атакам.
Прочитать полное расследование вы можете на сайте Positive Technologies.
Источник: t.me/Positive_Technologies
• Hellhounds уже скомпрометировала по меньшей мере 20 российских организаций. Больше всего группировку интересуют государственные учреждения, IT-компании, организации космической и энергетической отраслей.
• Созданная ими модификация уже известного трояна Decoy Dog работает незаметно для большинства средств защиты: он позволяет получить контроль над зараженными узлами и развивать атаку в скомпрометированной инфраструктуре.
«Decoy Dog — интересный и сложный троян, а новая модификация сделала его почти невидимкой. Он хорошо скрывает себя в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon», — рассказал Денис Кувшинов, руководитель отдела исследования угроз ИБ, PT ESC.
• Используемые группировкой инструменты в сочетании с ее тактиками и техниками не позволяют соотнести ее действия ни c одной из ранее известных APT-групп. Новая кибергруппировка, названная экспертами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на узлах и в сети.
• Истинные задачи Hellhounds пока неизвестны, однако имеется достоверная информация как минимум об одном факте уничтожения инфраструктуры, за которым последовала приостановка деятельности компании-жертвы.
• Одна из причин успеха новой группировки в том, что компании очень редко используют дополнительные системы мониторинга и антивирусы на серверах под управлением Linux.
Организациям, работающим на базе Linux, нужно больше внимания уделять защите инфраструктуры. Обнаруженные скомпрометированные узлы в очередной раз подтверждают ошибочность подхода, декларирующего неуязвимость Linux, и утверждение, что у нее ничтожно малая подверженность атакам.
Прочитать полное расследование вы можете на сайте Positive Technologies.
Источник: t.me/Positive_Technologies
Есть несколько способов защититься от надвигающейся угрозы, вот два из них:
PT Network Attack Discovery
Инструмент для расследований, который обнаруживает вредоносную активность злоумышленников на периметре и внутри сети, в том числе в зашифрованном трафике.
Система выявляет аномалии и сложные угрозы, которые невозможно обнаружить классическими методами. Поведенческий анализ учитывает множество параметров сессий и точно определяет атакующих даже в шифрованном трафике. Набор индикаторов компрометации и правил еженедельно пополняется экспертизой PT Expert Security Center.
PT Network Attack Discovery
Инструмент для расследований, который обнаруживает вредоносную активность злоумышленников на периметре и внутри сети, в том числе в зашифрованном трафике.
Система выявляет аномалии и сложные угрозы, которые невозможно обнаружить классическими методами. Поведенческий анализ учитывает множество параметров сессий и точно определяет атакующих даже в шифрованном трафике. Набор индикаторов компрометации и правил еженедельно пополняется экспертизой PT Expert Security Center.
- показывает полную картину активности в инфраструктуре
- автоматически обнаруживает попытки проникнуть в сеть
- предоставляет специалистам ИБ полную информацию о состоянии сети
PT Sandbox
Сетевая песочница - запускает файл в изолированной виртуальной среде, анализирует действия, которые он совершает в системе, и выдает вердикт о том, безопасен этот файл или нет.
PT Sandbox контролирует основные каналы передачи файлов и ссылок в инфраструктуре. Анализирует вложения электронной почты и документы в файловых хранилищах, которые загружаются на корпоративные сайты и скачиваются из интернета, а также выявляет угрозы в трафике корпоративной сети организации.
Сетевая песочница - запускает файл в изолированной виртуальной среде, анализирует действия, которые он совершает в системе, и выдает вердикт о том, безопасен этот файл или нет.
PT Sandbox контролирует основные каналы передачи файлов и ссылок в инфраструктуре. Анализирует вложения электронной почты и документы в файловых хранилищах, которые загружаются на корпоративные сайты и скачиваются из интернета, а также выявляет угрозы в трафике корпоративной сети организации.
- гибкая кастомизация виртуальных сред: в них можно добавить специфическое ПО, которое действительно используется в компании и может стать точкой входа для злоумышленников;
- уникальные «приманки», провоцирующие вредоносное ПО совершить активные действия и выдать себя. Файлы-приманки содержат поддельные учетные записи, файлы конфигурации или другую информацию, имитирующую данные реальной инфраструктуры;
- настраиваемое машинное обучение, которое повышает точность выявления неизвестных целенаправленных угроз. С его помощью анализируются более 8500 признаков поведения объекта: действия процессов, цепочки последовательностей вызовов API, сетевое взаимодействие, создаваемые вспомогательные объекты.
Позвоните нам: +7 (343) 222-13-32, доб. 1 (Екатеринбург), +7 (978) 214-29-87 (Севастополь), напишите на почту order@xrm.ru если Вам нужна консультация. Или оставьте заявку на сайте и мы перезвоним Вам сами.
